選擇合適的移動(dòng)管理方案

■

在企業(yè)部署防火墻用來(lái)保護(hù)網(wǎng)絡(luò)時(shí)，一般是將它作為一個(gè)設(shè)備安裝在外圍。隨著企業(yè)將其資產(chǎn)遷移到公共的IaaS空間，很多企業(yè)企圖模仿同樣的安全方法。但虛擬防火墻設(shè)備真得如同物理防火墻設(shè)備一樣提供同樣的安全保護(hù)水平嗎？換句話說(shuō)，我們可以像相信物理防火墻一樣信任虛擬防火墻嗎？為回答這個(gè)問(wèn)題，我們需要深入分析架構(gòu)問(wèn)題。

典型的防火墻安裝

圖1顯示了部署防火墻的傳統(tǒng)方法。這可能是擁有多個(gè)DMZ的一家企業(yè)，或者是多個(gè)公司托管在同一個(gè)地方的設(shè)施上。

在這里，每臺(tái)服務(wù)器都連接到了惟一的交換機(jī)，然后交換機(jī)被連接到了防火墻。服務(wù)器在邏輯上是彼此分離的，因?yàn)榫W(wǎng)絡(luò)之間的惟一路徑必須通過(guò)防火墻。而且，我們可以說(shuō)這些服務(wù)器在物理上也是彼此分離的，因?yàn)榉?wù)器之間惟一的連接點(diǎn)是通過(guò)防火墻。換言之，如果沒(méi)有防火墻，這些服務(wù)器就不可能彼此通信或與互聯(lián)網(wǎng)通信。這是物理分離的一個(gè)安全好處。

虛擬防火墻設(shè)備

圖2顯示的配置僅適用于有虛擬防火墻設(shè)備的IaaS云，它有不同的物理特征。在服務(wù)器之間通過(guò)虛擬機(jī)控制程序有軟件連接。惡意用戶進(jìn)入虛擬機(jī)的風(fēng)險(xiǎn)是多數(shù)管理員都可理解和接受的。但是，在這兒有第二個(gè)通過(guò)系統(tǒng)的軟件連接，即通過(guò)虛擬交換機(jī)。

雖然可以部署了多個(gè)虛擬交換機(jī)，但事實(shí)上多數(shù)方案僅部署一個(gè)軟件交換機(jī)，然后再分解成多個(gè)邏輯交換機(jī)。這樣做是為了使對(duì)主機(jī)服務(wù)器的資源影響最小化。

還要注意圖2中防火墻的位置，它在邏輯上位于虛擬交換機(jī)之外，這意味著它無(wú)法消除虛擬交換機(jī)內(nèi)部的任何風(fēng)險(xiǎn)。這表明如果一個(gè)聰明的黑客找到了在邏輯分區(qū)之間跳轉(zhuǎn)的方法，防火墻就無(wú)法提供減輕風(fēng)險(xiǎn)的作用。

所以，雖然圖1和圖2從邏輯上是相同的，但在物理上圖2包含了兩種額外的風(fēng)險(xiǎn)：首先是虛擬機(jī)控制程序成為潛在的軟件橋接，其次虛擬交換機(jī)成為一種潛在的軟件橋接。

減輕虛擬交換機(jī)的風(fēng)險(xiǎn)

幸運(yùn)的是，如果企業(yè)需要更高級(jí)的減輕風(fēng)險(xiǎn)水平（與虛擬防火墻設(shè)備所提供的降低風(fēng)險(xiǎn)的水平相比），還是有一些選擇的。首先就是利用基于虛擬機(jī)控制程序的防火墻。VMware的vShield可能是其中最杰出的產(chǎn)品。基于虛擬機(jī)控制程序的防火墻將防火墻遷移到了虛擬交換機(jī)的另一端，因而也就減輕了交換機(jī)自身的風(fēng)險(xiǎn)，如圖3所示：

圖1 部署防火墻的傳統(tǒng)方法

圖2 適用于虛擬防火墻設(shè)備的IaaS云

圖3 減輕交換機(jī)自身風(fēng)險(xiǎn)

基于虛擬機(jī)控制程序的防火墻存在一個(gè)問(wèn)題：這種防火墻因具體廠商不同而有差別。例如，vShield僅運(yùn)行在VMware自己的虛擬機(jī)控制程序上,并沒(méi)有得到KVM、Zen及其它虛擬機(jī)控制程序的支持。而且，企業(yè)的公共云供應(yīng)商也有可能不支持基于虛擬機(jī)控制程序的防火墻，所以此方法未必可行。即使公共云的廠商支持這種防火墻，防火墻也需要測(cè)試使用，并有可能在公共云環(huán)境中帶來(lái)額外的風(fēng)險(xiǎn)。所以，最終企業(yè)可能要做出權(quán)衡和選擇。

企業(yè)的另一個(gè)選擇是簡(jiǎn)單地利用現(xiàn)代操作系統(tǒng)中內(nèi)建的防火墻軟件?；谥鳈C(jī)的防火墻可以在通信進(jìn)出虛擬機(jī)時(shí)控制通信，所以這種防火墻絕不僅僅能夠減輕虛擬交換機(jī)內(nèi)部的潛在風(fēng)險(xiǎn)。這種方法還是最廉價(jià)的，因?yàn)榉阑饓σ呀?jīng)內(nèi)置到操作系統(tǒng)中了。最后一點(diǎn)，這種方法也是最靈活的。如果企業(yè)要將虛擬機(jī)遷移到另一個(gè)云中，很顯然，基于主機(jī)的防火墻所提供的保護(hù)也會(huì)隨之遷移。本文前面所討論的所有其它的防火墻都不具備這個(gè)特性。