网络安全虚拟化产品评估实操指南

ZDNET安全频道 08月13日 综合消息:目前市场上的安全虚拟化方案可谓琳琅满目，厂商中既充斥老牌劲旅也不乏后起之秀。瞻博网络拿出的是其vGW(即vGateway)系列虚拟方案，思科公司则拥有Nexus 1000v虚拟交换机外加ASA 1000v虚拟防火墙，5Nine Security Manager旨在为微软的Hyper-V环境提供反恶意软件及流量访问控制服务。大多数IDS/IPS厂商同样拥有虚拟型产品，其中包括Sourcefire、McAfee、TippingPoint等等，如何选择CSO要擦亮眼睛。

在本文中，我们将共同探讨网络安全虚拟化产品评估工作中必要考虑的几大关键性因素。

评估流程中最重要的一步在于确定哪些虚拟化产品真正适合企业的实际需求。以下几项具体内容可以作为大家进行判断的衡量标准：

•成本。成本在评估是否有必要将现有网络安全技术(可能在功能性方面存在局限、不具备虚拟化安全能力或者更新机制)更换为新型虚拟技术的重要依据。很多产品供应商会根据管理程序数量、虚拟机系统数量或者CPU使用数量等作为虚拟平台的授权许可计费标准。计费方面的差异不仅直接影响到更新项目的前期资金投入量，同时也会随时间推移、设施规模扩大而产生后续成本。

•供应商实力。无论最终选择哪家供应商，大家都要在签订合约前做足功课。某些供应商比其它竞争对手更具实力，大家应当与这些厂商的现有客户进行交流，了解使用者对于产品及合作关系的看法。明智的客户还应该认真阅读头条新闻，掌握与厂商有关的任何重要消息，包括行政领导层变动、资金持有量公告以及收购传闻等等。

•与管理程序平台的本地集成效果。从技术角度出发，大多数虚拟安全产品供应商都会认真关注市场领导者VMware的最新动态;不过也有不少技术企业支持微软Hyper-V、思杰、KVM及其它主流平台。如果您所在的机构只选择了某一家虚拟化平台供应商，那么对安全厂商的评估过程也会变得更加轻松;如果当前使用的虚拟化平台数量多种多样，那么安全方案就必须具备多平台支持能力。

•管理能力。思考虚拟网络设备是否易于管理(无论其是否集成在现有安全控制台当中)、支持哪些类型的远程访问机制(例如SSH)以及系统能否提供以角色为基础的细化访问控制方案。

•性能影响与可扩展性。虚拟网络设备需要使用多大内存及其它资源?使用状态下的平均资源峰值是多少?供应商应该有能力明确地回答这些问题。

•架构灵活性。虚拟防火墙能够支持多少虚拟网卡/端口?产品支持哪些规则及协议?

•特殊虚拟化功能。客户能够利用哪些功能实现虚拟资产(从管理程序到虚拟机系统)的控制与保护?

说到功能，大家需要优先关注的重点相当之多，具体取决于您打算使用的虚拟防火墙、交换机或者网关的实际类型。其中最重要的几条包括API可扩展性、是否允许与业务流程平台相集成、环境能否实现自动化以及与其它供应商产品进行比较。当下的多数虚拟防火墙都能提供状态检测、入侵检测、反恶意软件、配置与补丁评估以及虚拟基础设施监控等功能。请确保自己选择的平台有能力对虚拟机内部(管理程序内部流程)以及虚拟机之外(虚拟机与外部网络之间)进行监控与过滤。最好能从内核层面将安全方案与管理程序环境加以深度整合，这将有效提升性能表现并降低使用成本。在选择具体解决方案时，对特定虚拟化流量及动态虚拟机迁移操作(例如vMotion)的识别、监管与控制能力也非常关键。