在路由器边界区域对流入流出数据进行过滤的应用是基于VMware虚拟数据中心防御圈的第一个关键层。这种方法不仅显著提高了安全性,而且通过去除不必要的流量减少了数据中心的流量负载。
但是,在网络安全性方面是不存在仙丹灵药的;简单而言就是没有哪一种安全产品或技术是万能的。长久以来,整个行业已经认识到一个分层的托管安全实施是确保企业及其系统安全性的最佳方法。
在本文中,我将介绍一下企业可以如何使用VMware防火墙技术的应用来增强分层纵深战略的。
vCloud的网络和安全性
目前的vCloud网络与安全产品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全组件如下:
• vCloud Networking and Security Edge (即之前的vShield Edge)
• vCloud Networking and Security App (即之前的vShield App)
• vCloud Networking and Security Data Security (即之前的vShield Data Security)
外围保护
我们首先从数据中心的外围开始,使用vCloud Networking and Security Edge来提供“信任区”分割。这可以是在一个多租户环境中以租户之间的隔离为宽度,或者在一个单一租户环境中以DMZ和/或VPNextranet隔离为粒度。
基于vCloud Networking and Security Edge的防火墙过滤要优于普通的IP地址过滤。
除了超出预期的过滤功能以外,vCloud Networking and Security Edge的其他可用功能还包括众多数据中心周边所预期的通用服务:
• DHCP(从一个预定义的资源池中为一台服务器动态分配或绑定一个特定的地址)
• VPN (IPsec和SSL)
• NAT(静态和动态)
• 负载平衡(基本的HTTP(80)和HTTPS(443)负载平衡)
应用程序保护
下一个防护层是直接在用户想要保护的应用程序前部署安全组件。
首先,需要指出的是vShield App防火墙并不是一个七层的防火墙,它只是局限于第二、第三层的过滤。也就是说,vShield App有着几个值得注意的独特功能:
• 流量监控为网络和应用程序的流量状况提供了实时的显示。
• SpoofGuard可阻止未知的虚拟机发送或接受流量,除非该操作已在vShield策略中明确。
虽然vShield App防火墙并不是我们所熟悉的传统七层应用程序防火墙,但是它确实超越了传统IP地址过滤的方法,它允许基于逻辑结构创建策略,例如vCenter服务器容器和vSheild安全组。
数据保护
vCloud Networking and Security Data Security是一个易于使用、图形用户界面驱动的数据丢失保护(DLP)软件,它可针对敏感数据提供扫描和报警服务。该产品部分基于RSA DLP技术,并包含了来自于全球(包括北美、EMEA、亚太等地区)的80个法规模板——例如个人身份信息、PCI DSS持卡人数据和受保护健康信息等。该产品可轻松实现客户虚拟机下的数据分类,并能针对用户数据提供完整的可见性。
最后的思考
VMware的vCloud Networking and Security在筑牢数据中心安全性篱笆方面还有很长的一段路要走,而且请记住它在第七层所提供的保护是非常有限的。但是,如同其他大多数安全产品一样,它并不是灵丹仙药;用户仍然需要采取额外的保护措施以便于配合vCloud Networking and Security的部署,同时还要有一个纵深防御的战略。
用户仍需面对的风险包括:SQL注入、跨站点伪造请求(CSRF)攻击,所以用户应在完成VMware防火墙技术技术部署之后还应对当前威胁环境中各类事件的应对预案做好规划。SQL注入风险可能是最有可能通过利用好内置功能来解决的(例如Apache包括可针对一般攻击提供保护的Mod安全应用程序防火墙,其中就包括了SQL注入)。CSRF攻击则可通过使用Apache Tomcat CSRF预防过滤器来减轻。