虛擬化和SDN將增加防火墻安全復(fù)雜性

2013-10-14 16:25:25 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

據(jù)國外媒體報(bào)道，在過去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭相推出所謂的下一代防火墻，因?yàn)檫@些應(yīng)用感知防火墻可以基于應(yīng)用程序使用來監(jiān)控和控制訪問。此外，很多防火墻中加入

King表示，越來越多的客戶開始同時使用其物理和虛擬化下一代防火墻。

但是，NSS實(shí)驗(yàn)室分析師John Pirc警告說，基于管理程序的防火墻和IPS仍然相當(dāng)新，有個問題是防火墻/IPS供應(yīng)商并不總是支持多虛擬化平臺。NSS實(shí)驗(yàn)室可能今年會在其實(shí)驗(yàn)室測試基于虛擬機(jī)的安全性。

然而，根據(jù)Gartner表示，虛擬化防火墻只占整個防火墻的5%不到。Young表示，虛擬化防火墻在特定情況下會讓事情變復(fù)雜，即關(guān)于它們應(yīng)該由網(wǎng)絡(luò)運(yùn)營組還是服務(wù)器運(yùn)營組來管理的問題。他指出：“在這個虛擬版本中，存在誰管理什么的復(fù)雜性。”

企業(yè)正在不斷將數(shù)據(jù)以及數(shù)據(jù)處理發(fā)送到云服務(wù)供應(yīng)商的網(wǎng)絡(luò)--這有可能是平臺即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)，或者軟件即服務(wù)，這種云計(jì)算的興起也引起了大家對防火墻和IPS的未來的思考。現(xiàn)在，你在云服務(wù)(例如亞馬遜)所做的操作與你在企業(yè)內(nèi)部的操作鮮少有聯(lián)系，并且，現(xiàn)在防火墻和IPS主要位于企業(yè)內(nèi)部。

與此同時，安全行業(yè)還要應(yīng)對軟件定義網(wǎng)絡(luò)的出現(xiàn)和CloudStack及OpenStack的使用。

“這是一個顛覆性的轉(zhuǎn)變，”Toubba認(rèn)為，他還指出瞻博網(wǎng)絡(luò)認(rèn)為基于軟件的防火墻等其他安全服務(wù)可以部署到SDN和云計(jì)算技術(shù)。

初創(chuàng)公司Bromium創(chuàng)始人兼首席技術(shù)官Simon Crosby(在XenSource被Ctrix收購前，他曾任該公司XenSource創(chuàng)始人兼首席技術(shù)官)并不認(rèn)為傳統(tǒng)防火墻和IPS(或者“下一代”什么)是答案。他表示，公共云技術(shù)和OpenStack是推動事情突破的主要力量。

Crosby指出，安全行業(yè)已經(jīng)大范圍“破產(chǎn)”，并且供應(yīng)商在“撒謊”，他警告說“任何斷言可以檢測到攻擊者的技術(shù)都是存在問題的。”他認(rèn)為更好地實(shí)現(xiàn)虛擬機(jī)安全的方法將通過基于CPU保護(hù)和“硬件隔離”來實(shí)現(xiàn)，“硬件隔離”是以一種新穎的方式利用內(nèi)置英特爾和ARM芯片安全功能。Bromium的vSentry虛擬化安全運(yùn)作方式正如虛擬機(jī)內(nèi)的虛擬機(jī)，對于windows的攻擊代碼，先隔離再“丟棄”。

這種新想法是否能夠發(fā)揮作用仍然有待觀察。

Gartner的Young表示，即將到來的SDN技術(shù)并不意味著物理交換機(jī)將退出歷史舞臺，他指出，這種不成熟的網(wǎng)絡(luò)形式將為通過控制器編排應(yīng)用程序和自動化服務(wù)鏈帶來新的方式。然而，問題是這種技術(shù)肯定會影響現(xiàn)在防火墻的運(yùn)作方式，目前并沒有針對SDN的堅(jiān)實(shí)的安全模型，Young表示：“目前的SDN安全機(jī)制其實(shí)是子虛烏有。”

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊