虚拟安全不打折

时间：2013-1-16 16:44:49　　来源：未知　　作者：未知　　点击：1404次

天气渐渐炎热起来，商场打折声也一轮比一轮火热，新品，换季，不亦乐乎。新旧迭代本是常理，而在信息安全领域也正上演着这样一场变革。

虚拟安全或者称之为虚拟化环境下的安全，正是这样变革的主力，随着越来越多的企业组织将自己的计算架构导入虚拟化平台，从前的逻辑拓扑还在，但是去机房一看，曾经色彩缤纷的设备机架，那Cisco的绿，Juniper的蓝，F5的红，还有那些金属拉丝面板，渐渐少了，逐步变成了统一的标准服务器，黑黑的一大片，原本串接他们的交换机，路由器，负载均衡器，防火墙，都被虚拟了。

不需要讨论这一天什么时候到来，因为这一天正在到来。我们简述4点疑问，为大家迎接这个新时代做点准备。

疑问1：
什么是虚拟安全？

简单来说，虚拟安全就是和虚拟机有关系的安全考虑。复杂点，虚拟安全包括，虚拟机本身的安全，虚拟机网络间的安全，虚拟环境与外部真实环境之间的安全。

更加具体点看，虚拟化技术在实际应用领域，又分为服务器虚拟化和桌面应用虚拟化两大类。他们的安全需求显然是不一样的，服务器虚拟化需要更多的考虑虚拟机网络传输之间的安全，而桌面应用虚拟化更侧重对数据安全的考虑。

由于虚拟机在物理和逻辑上的独特性，虚拟安全不能完全用传统的安全方法和理念去实施，这将是一个全新的市场机会。

疑问2：
虚拟环境下的安全与传统安全到底有些什么区别？是不是只要我有一个能在Linux上跑的软件版安全程序，我就可以做虚拟安全了呢？

非也非也。

首先，从我们的安全逻辑拓扑图上，虚拟化和虚拟化后，差别并不大，但如果你现在从未为VLAN安全，主机保护，数据加密这些词担心过，那你就要提高警惕了。因为从前，我们有很多安全屏障都是靠“物理隔离”来实现的，物理安全对我们来说是一种低成本的安全实现手段。而在虚拟化之后，所有的数据都是逻辑隔离的，没有物理隔离的天然屏障之后，对于逻辑隔离的有效性，大家都会有一个大大的问号，“加密，必须得。”

但是你需要考虑的比加密还要多很多，例如，虚拟机有一个特性是生成方便，你很容易复制一台新的虚拟机，那么这个全新的机器的安全设置，包括如何在防火墙即时更新安全策略，开放端口，资源配置，权限如何关联，如果安全设置需要比新建一台虚拟机多花10倍的时间？管理员会重新评估这个安全产品！针对虚拟环境的安全产品一定要做到可以跟上虚拟软件一样的灵活配置与自动配置能力，很可惜，现在绝大多数的安全产品厂家在这一领域差得太多太多，很多公司连第一个可用的大测试版本都拿不出来。而更多的大公司选择了收购专门的虚拟安全公司在进入这个市场，所以这绝对不是一个软件版本的安全产品的问题。

疑问3：
虚拟环境下的安全包括哪些方面？我知道CheckPoint VE，这是不是就是虚拟安全的全部？

既然虚拟安全和实体安全在安全逻辑上没太多分别，那么同样的安全组件也都不能免，虚拟防火墙，虚拟IDS / IPS ，虚拟环境下信任域分割保护，虚拟的合规性和日志分析工具都是需要的。

你要问，上网行为管理是否也需要放进虚拟平台去做？回答是，可以，但不必须。

在我们考虑虚拟安全的时候，不能全盘否定传统硬件部署的安全产品，虚拟安全产品只能伴随传统服务器变成虚拟服务器的脚步，逐步减少传统安全设备的使用。但是对一些可以进行集中部署的设备，比如上网行为管理，就没必要一定要做虚拟化的考虑了。

除了传统的安全组件进行虚拟化版本转化外，还有一些专门的虚拟安全产品，例如：

自动化变更控制和配置管理产品，要想让虚拟安全的管理跟上虚拟服务器的配置管理流程，那就必须要有这样的产品。

软件资产清单产品，一台物理机，可能搭载10台虚拟机，10台虚拟机可能有100个应用，如何快速有效地识别应用，进行应用管理，对于虚拟安全来说特别重要，因为要保证这些应用随虚拟机进行迁移，转换的过程中能够持续提供服务，不仅需要虚拟机的更需要管理这些应用端口，进程以及数据安全的虚拟安全产品的护佑。

当然最后少不了一个集中的虚拟安全管理平台。

疑问4：
虚拟安全市场的竞争情况是怎么样的？

首先，我们补充另外一个虚拟安全与传统安全市场的区别，那就是在虚拟安全市场，没有ASIC，没有FPGA，没有NP，所有的产品的战场都是一样的X86。

对于CheckPoint来说，虚拟安全是一个太好的机会了，其他不说，光硬件平台的差异不在，就可以凸显一下传统软件厂商的优势。不过，这场竞争远没有这么简单。

在虚拟安全这场比赛中，裁判有三个，主裁判Vmware，左巡边Citrix，右巡边Microsoft，场外裁判和摄像机Oracle，Redhat还可以再争一下。

为什么这样说，因为虚拟安全有其特殊性，那就是必须要基于Hypervisor以及裁判们开放的安全API才能有发挥本领的机会。现在市场上大多数的虚拟安全产品都是基于VMware的VMSafe API开发的，遵循Vmware vShield虚拟安全框架，也就是说，Vmware自己有一套完整的虚拟安全产品，传统安全厂家在这个基础上做“add-on”。

在虚拟网络安全领域，Cisco走的是和Vmware做大集成的路线，vShield实际上就是Cisco和Vmware一起搞出来的，代表产品，Nexus系列。Juniper依靠收购曾经的虚拟安全一哥，Altor，获得了自主品牌虚拟安全产品的头筹，vGW产品市场占有率不逊色Nexus。第二梯队的2款产品都和群柏有关，那就是CheckPoint的VE与IBM的VSP系统产品。CheckPoint的VE与IBM ISS的VSP（Virtual Server Protection）产品线，他们可以很好的完成虚拟防火墙与虚拟IPS的功能，并且拥有自动配置功能。

在虚拟系统安全领域，目前趋势科技走在前面，其Deep Security是第一款完全Ready的虚拟系统安全产品，而Symantec和McAfee显然没有完全入戏，又或是在下一盘很大的棋，因为直到2011年7月，他们还是没有拿出真正可以适合虚拟平台使用的产品出来。为什么要加个真正？去看看Tolly做的对比测试就知道了。

Trend Micro Deep Security 7.5 vs. McAfee and Symantec Anti-virus Performance in VMware ESX Virtual Environments
http://www.tolly.com/DocDetail.aspx?DocNumber=211101

专业虚拟安全领域，自从Altor被Juniper收购后，专业虚拟安全的杰出代表就非Reflex莫属了。但是估计过不了多久，这些专业性的小型公司都会逐步并入大集团手中。

这一切的一切还要视乎主裁判的心情，如果Vmware的野心很大，即当裁判又做球员，那么…

不管了，反正虚拟安全市场会是一个蓬勃的新市场。

至于为什么不打折，在7月12日，Vmware 发布了vShpere5，这次新版本升级除了照例增加了几百项新功能外，最重要的是，Vmware调整了授权体系，现在买Vmware家的东西，不光要看CPU数目，还要跟你计算内存，当然，vRAM条件的增加绝不是仅仅是为增加你报价的复杂度，说白了就是变相涨价。

所以，鉴于Vmware涨价的底气，我大胆放言，虚拟安全市场不但不会打折，还要加价！钱途是一片光明啊。

附件下载：