Data 虛擬化時代的數據中心安全解決方案 vArmour

使用虛擬化技術有許多好處，資源運用時可以更靈活，也更合乎成本效益。但與此同時，引進虛擬化技術也為系統安全帶來了新的挑戰。vArmour 高級系統工程師陳軍，以及 iCON Business Systems Limited 技術總監戴兆偉，分享他們對虛擬化時代下數據中心安全的意見。

 

Q：Linuxpilot  A：陳軍  A：戴兆偉

虛擬化數據中心需要不同保安策略

Q：你們認為現時企業最大的保安挑戰是什麼？如何才可以保護自己免受攻擊？
A：數據中心的數據流動，一般可分為東西和南北兩個方向。南北交通僅限於數據進出數據中心的流動，這是大部份數據中心安全解決方案所關注的流量類型。另一方面，東西交通是在數據中心內部，設備和應用程式之間的數據流動。東西流量主要由不同伺服器中的應用程式之間的通訊組成，一旦為南北交通把關的安全解決方案被攻破，東西交通將變得容易受到攻擊，特別是企業在面對進階持續性滲透攻擊 (APT) 的時候。

Q：以物理主機為主和以虛擬化為主的數據中心有何分別？這些分別會影響保安上的對策嗎？
A：首先傳統的物理安全設備，並不是設計來保護如軟體定義數據中心 (SDDC)、私有雲或混合雲等虛擬基礎設施。傳統的保安對策，往往依賴物理設備如防火牆、入侵防禦系統 IPS，或者部署在物理主機的應用程式防火牆。它們不太適合保護虛擬資產，因為它們難以攔截在虛擬交換機或不同埠號群組內，不同的虛擬機器的數據流量，也無法監控公有雲環境下的數據流量。

以虛擬機器為中心的微切分安全策略

Q：面對這些挑戰，企業要如何應對？
A：在傳統的大型網路中，只要每台物理設備已套用安全策略，基本上都不會有大問題。但對於一些以虛擬機器為主的數據中心，往往需要執行更精細的安全策略，並將這些安全策略套用在特定的虛擬機器、或特定群組的工作負載中。這種安全策略稱為微切分架構 (Micro Segmentation)，需要將以軟體為基礎的虛擬化安全控制組件，部署在虛擬機器所處的網路中。vArmour 提供整合式的安全服務，包括以虛擬機器為單位的微分割、軟體為單位的分割、並對虛擬機器下的應用程式進行監控，藉偵測網路欺騙特徵以發現潛在攻擊，幫助企業保護關鍵的應用程式和工作負載。

vArmour 分散式安全檢查能節省 50% 成本

Q：有一些虛擬化平台亦提供類似的技術，vArmour 的技術又有什麼不一樣？
A：說到 VMware 的虛擬化技術，市面上大部分安全方案供應商，都是利用 VMware NSX 預載的工具，來攔截不同虛擬機器的流量，而且客戶必須投入額外的成本。客戶必須將 vSphere 版本升級，因為這樣才能夠使用 dvSwitch，令整體成本大增。vArmour 採用分散式系統的形式，提供 Layer 4 至 Layer 7 的完整安全檢查，它會自動建立足夠的埠號群組，讓每一台的虛擬機器連上這些埠號群組，從而達到監察及攔截來自不同虛擬機器中各應用程式的流量，完全不需要依賴 VMware NSX 的技術，採用 vArmour 可節省超過 50% 的成本。

Q：vArmour 在實際環境下如何工作？
A：vArmour DSS 的分散式資安系統 (Distributed Security System) 是為多種雲端環境而設計。在架構上，由單一智能網路 Fabric 連接串起分散在各 Hypervisor 的感測器 (EP/EPi)。整個系統可視為邏輯單一的整體，不需單獨為每台虛擬機器設定保安策略。vArmour Analytics 收集來自 Fabric 而來的流量。系統會對這些流量模式進行分析，藉以檢測潛在的威脅。管理人員可透過 Fabric 將保安策略套用在複數的雲端環境中，也可將 vArmour 整合到 Splunk 當中，方便管理更多同一網路下的其他設備。

在任何運行狀態下都能執行安全策略

Q：vArmour 可以如何保護虛擬機器？
A：vArmour 的安全策略是獨立於網絡架構，因此不論虛擬機器正處於那種狀態，例如被遷移至不同私有雲下、甚至正在透過 vMotion 進行遷移的途中，vArmour 都可為虛擬機器提供安全防護。有別於市面上一般的防火牆產品只把流量中一少部分作為樣本檢查及提供簡單報告的做法，vArmour 會把每台虛擬機器的流量都導向至埠號群組，確保 100% 的流量都通過 vArmour 的檢測。vArmour Analytics 會自動收集所有網路流量、保安資訊、以及已經套用的保安策略。配合最新的 vArmour Deception，vArmour 可以引誘黑客活動，讓他們跌入事前設置好的誘捕系統(Honey Pot)，客戶一按鍵即可隨時隔離可疑活動，作進行進一步調查，並防止可疑活動以橫向擴散。

Q：vArmour 的部署過程簡單嗎？
A：我們可以為客戶安排演示，只需要 20 分鐘，就能證明它如何運作。，而 vArmour 只需 5 分鐘的初始安裝，並可於 1 個小時內完成微切分架構部署，相反市面上同類產品需時數星期甚至數個月。vArmour 獨立於網路基建，只要改變現有網路的少部分設定即可進行部署。vArmour 可用 TAP (Test Access Point)、vWire、Layer 2、Layer 3、VLAN Trunk 和 SDN 方式部署，支援的 Hypervisor 包括 VMware ESXi、Linux 的 KVM，未來更會支援 Docker 容器。vArmour 還可以藉 RESTful 的 API 整合第三方解決方案，故大部分客戶在看過演示後，都會馬上決定使用 vArmour。

iCON Business Systems Ltd. 網站：http://www.icon-info.com.hk 電話: +852 2748 3698