企业在考虑虚拟环境下的企业网络安全,或利用虚拟化提供安全服务时,可以选择物理设备模型、虚拟设备模型或组合模型。企业IT组织的工作通常围绕计算、网络、存储和安全领域的维护和支持展开。这些团队的进一步专业化是由影响力和技能领域驱动的,具有责任和资源,转变为业务、架构和工程角色。这些组织结构是分层的、标准化的和流程驱动的,不符合环境变得高度虚拟化时所需的敏捷方法。当一个系统管理员负责所有虚拟化功能时,技术领域是复杂和抽象的。虽然这些结构和IT类整合迫使新的运营模式出现,但我们保护虚拟环境的方法并没有随着新的运营模式而发展。保护工作负载的最先进模式当团队考虑虚拟环境中的企业网络安全,或使用虚拟化提供安全服务时,他们可以选择物理设备模式、虚拟设备模式或组合模式:物理设备强制安全。网络团队使用虚拟LAN和IP子网路由对物理网络进行逻辑分段来管理物理网络。这允许使用路由器或防火墙将物理气隙和接口或基于区域的隔离相结合。在这种情况下,将有专门的团队维护单独的虚拟交换机、网络拓扑来管理虚拟主机。在同一区域(物理或虚拟)内,通常没有专门用于工作负载安全的技术。如果工作负载试图跨越区域边界,则通信必须通过虚拟计算基础架构外部的物理防火墙/路由器。这就是经典的“马蹄形”边界安全设计模式。虚拟设备加强安全性。在虚拟设备强制安全场景中,系统管理员使用逻辑虚拟“边缘”安全设备和路由设备放置在逻辑区域中的工作负载集合前面。这些虚拟设备(虚拟机工作负载)取代了物理设备,但更接近于受保护的工作负载。当流量需要跨越区域边界时,跨越相应工作负载的位置,决定如何转发,如何在靠近虚拟设备的情况下保证安全。物理网络中有逻辑分段很方便,但是由于虚拟网络中有很多流量是东西向的,所以物理防火墙从来没有遇到过这么多的网络流量。这种架构意味着这些策略仅在网络底部的物理分离或分段中松散耦合。物理和虚拟设备。将这两种模型结合起来,可以为具有虚拟主机的工作负载集群提供逻辑分段和区域物理隔离。这种方法提供了虚拟化工作负载的优化本地分段和转发(根据上下文),这通常意味着虚拟化计算率不太理想,因为虚拟化集群受到它们提供的服务的限制。然而,这种模式得到了合规、审计和风险团队的认可。基于工作负载的隔离与管理程序中的安全实施,是管理程序和虚拟设备的组合。策略被起草,然后附加到工作负载,与工作负载一起穿过虚拟化“结构”本身,并在管理程序或管理程序与集成虚拟设备的组合上实施。由于虚拟环境和虚拟化平台的集成,这种方法提供了非常高的性能,并且真正考虑到工作负载的保护,无论是在物理或逻辑网络中,还是移动工作负载。混合模式。此模式是上述任何选项,或所有选项的组合。该模型有可能提供真正统一的方法,从而在执行中提供最大的灵活性。但是这种方法的平衡非常复杂。混合模型需要跨职能团队采用集成方法,并依赖于高水平的工作流自动化。
