企業(yè)考慮虛擬環(huán)境中企業(yè)網(wǎng)絡(luò)安全時(shí)�,或者使用虛擬化來提供安全服務(wù)時(shí)����,可以選擇物理設(shè)備模式�、虛擬設(shè)備模式或者組合模式�����。
企業(yè)IT組織的工作往往是圍繞計(jì)算�、網(wǎng)絡(luò)�、存儲(chǔ)和安全領(lǐng)域的維護(hù)和支持。
這些隊(duì)伍的進(jìn)一步專業(yè)化是由影響力和技能領(lǐng)域所帶動(dòng)的,帶著責(zé)任和資源�,轉(zhuǎn)變成業(yè)務(wù)����、建筑和工程的角色��。
這些組織結(jié)構(gòu)是分層的,也是標(biāo)準(zhǔn)化和流程驅(qū)動(dòng)的��,在環(huán)境變得高度虛擬化時(shí)�����,它不能與所需要的敏捷方法相契合����。
當(dāng)一個(gè)系統(tǒng)管理員要負(fù)責(zé)所有虛擬化功能時(shí)���,技術(shù)領(lǐng)域就顯得綜合而且抽象��。
盡管這些結(jié)構(gòu)和IT類整合迫使新的運(yùn)營(yíng)模式的出現(xiàn)����,而我們保護(hù)虛擬環(huán)境的方法并沒有和新的運(yùn)營(yíng)模式一起進(jìn)化���。
保護(hù)工作負(fù)載的最先進(jìn)模式當(dāng)團(tuán)隊(duì)考慮虛擬環(huán)境中企業(yè)網(wǎng)絡(luò)安全時(shí)�����,或者使用虛擬化來提供安全服務(wù)時(shí)�����,可以選擇物理設(shè)備模式、虛擬設(shè)備模式或者組合模式:物理設(shè)備強(qiáng)制安全����。
網(wǎng)絡(luò)隊(duì)伍使用虛擬LANs和IP子網(wǎng)路由來管理物理網(wǎng)絡(luò)��,將其進(jìn)行邏輯分段��。
這就可以使用路由器或防火墻將物理空氣間隙和界面或基于區(qū)域的隔離結(jié)合起來�����。
在這種情況下,會(huì)有一個(gè)專門的團(tuán)隊(duì)維護(hù)獨(dú)立虛擬交換����,網(wǎng)絡(luò)拓?fù)鋪砉芾硖摂M主機(jī)��。
在同一個(gè)區(qū)域內(nèi)(物理或虛擬),一般不存在專門應(yīng)用于工作負(fù)載安全方面的技術(shù)��。
如果工作負(fù)載企圖跨越區(qū)域邊界,通信必須經(jīng)過虛擬計(jì)算基礎(chǔ)設(shè)施之外的一個(gè)物理防火墻/路由器����。
這就是經(jīng)典的“馬蹄”周邊安全設(shè)計(jì)模式�。虛擬設(shè)備強(qiáng)制安全����。
虛擬設(shè)備強(qiáng)制安全情況中,系統(tǒng)管理員使用邏輯虛擬“邊緣”安全設(shè)備和放置在邏輯區(qū)域的前端工作負(fù)載集合的路由設(shè)備���。
這些虛擬設(shè)備(虛擬機(jī)工作負(fù)載)取代了物理設(shè)備,但是和所保護(hù)的工作負(fù)載更接近�。
當(dāng)流量需要跨越區(qū)域邊界�����,跨越相對(duì)應(yīng)工作負(fù)載的位置,在靠近一個(gè)虛擬設(shè)備的同時(shí)決定如何轉(zhuǎn)發(fā)和怎樣確保安全����。
在物理網(wǎng)絡(luò)中進(jìn)行邏輯分段很方便���,但是因?yàn)樵谔摂M網(wǎng)絡(luò)中很多的流量是東西走向,物理防火墻從來沒有遇到過這么多的網(wǎng)絡(luò)流量。
這種架構(gòu)意味著這些政策僅僅只是在網(wǎng)絡(luò)底部的物理分離或分段中的松散耦合。物理和虛擬設(shè)備。
結(jié)合這兩種模型��,就可以提供帶有虛擬主機(jī)的工作負(fù)荷集群的邏輯分段和區(qū)域物理隔離���。
這種方法提供了虛擬工作負(fù)載的優(yōu)化本地分割和轉(zhuǎn)發(fā)(帶有上下文)�����,隨著虛擬化集群被他們所提供的服務(wù)所限制�,往往意味著更少的最佳虛擬化計(jì)算率��。
然而�����,這種模式獲得合規(guī),審計(jì)和風(fēng)險(xiǎn)團(tuán)隊(duì)的認(rèn)可���。
超級(jí)管理器中帶有安全強(qiáng)制的基于工作負(fù)載隔離,超級(jí)管理器和虛擬設(shè)備的組合�����。
起草好政策�����,然后將其附加在工作負(fù)載上����,和工作負(fù)載一起穿越虛擬化“結(jié)構(gòu)”本身�,并且在超級(jí)管理器或超級(jí)管理器和集成虛擬設(shè)備的組合中執(zhí)行。
由于虛擬環(huán)境和虛擬化平臺(tái)的集成,這種方法提供了非常高的性能���,而且不管是在物理或邏輯網(wǎng)絡(luò)中����,或移動(dòng)工作負(fù)載中,真正考慮到保護(hù)工作負(fù)載�����?�;旌夏J?�。
這個(gè)模式是以上任意選項(xiàng),或全部選項(xiàng)的組合。
這個(gè)模式有提供一個(gè)真正均勻方法的潛力����,這個(gè)方法可以提供最靈活的執(zhí)行能力�����。
但是這種方法的平衡是非常復(fù)雜的�����。
混合模式需要跨職能團(tuán)隊(duì)的集成方法,而且依賴于高水平的工作流程自動(dòng)化。
