反思系统和网络设计上的安全区域

ZDNet安全频道原创翻译 转载请注明作者以及出处

作为IT专家，在每日繁忙的工作时，我们可能忽略了一些通过当前技术，如多个抽象层，虚拟化，管理技术等可以轻易实现的最基本的网络基础元素。在本文中，IT专家Rick Vanover建议我们反思一下网络中的安全区域。
--------------------------------------------------------------------------------------------

　　如今数据中心的网络设备和服务器都拥有抽象层，虚拟化层以及管理层。前不久我与独立安全专家Edward Haletky讨论了很多网络问题，从中我发现，现在是时候该重新审视一下在新的和已有的网络架构中，安全区域是如何被实现的了。

　　Edward指出，很多管理员，包括我在内，甚至在不知道安全区域的情况下跨越了安全区域。这里我指的安全区域是针对网络架构各个层的一系列服务。

　　举个例子，数据中心里有一台常见的服务器，这台服务器上运行了多个虚拟机。这样的一台服务器可能会具备以下属性：一个硬件管理接口，如HP Integrated Lights-Out management 处理器，一个操作系统管理接口，虚拟化层迁移接口，为iSCSI等设备准备的存储接口，以及在独立VLAN上的一系列虚拟机。在这个例子里，一个服务器设备至少需要与五个安全区域进行交互。

　　这次讨论让我感觉到，在有了诸如VLAN或者其他虚拟化技术后，该认真的思考一下安全区域是如何被实现的了。不考虑安全问题的情况下，只要简单的将每个网络设备点分隔在它们所属的安全区域内即可。这样做对于网络整体性能也有好处，比如将iSCSI设备单独隔离出来。

　　你是如何在网络上实现不同的安全区域的呢?通过足够多的VLAN吗，还是通过独立的交换环境来分隔设备?这个领域很复杂，并且与设备有关，因此并没有一个统一的标准答案。欢迎读者与我们分享自己的看法。