虛擬化和SDN將增加防火墻安全復(fù)雜性

2013-10-14 16:25:25 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

據(jù)國(guó)外媒體報(bào)道，在過(guò)去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭(zhēng)相推出所謂的下一代防火墻，因?yàn)檫@些應(yīng)用感知防火墻可以基于應(yīng)用程序使用來(lái)監(jiān)控和控制訪問(wèn)。此外，很多防火墻中加入

King表示，越來(lái)越多的客戶開(kāi)始同時(shí)使用其物理和虛擬化下一代防火墻。

但是，NSS實(shí)驗(yàn)室分析師John Pirc警告說(shuō)，基于管理程序的防火墻和IPS仍然相當(dāng)新，有個(gè)問(wèn)題是防火墻/IPS供應(yīng)商并不總是支持多虛擬化平臺(tái)。NSS實(shí)驗(yàn)室可能今年會(huì)在其實(shí)驗(yàn)室測(cè)試基于虛擬機(jī)的安全性。

然而，根據(jù)Gartner表示，虛擬化防火墻只占整個(gè)防火墻的5%不到。Young表示，虛擬化防火墻在特定情況下會(huì)讓事情變復(fù)雜，即關(guān)于它們應(yīng)該由網(wǎng)絡(luò)運(yùn)營(yíng)組還是服務(wù)器運(yùn)營(yíng)組來(lái)管理的問(wèn)題。他指出：“在這個(gè)虛擬版本中，存在誰(shuí)管理什么的復(fù)雜性。”

企業(yè)正在不斷將數(shù)據(jù)以及數(shù)據(jù)處理發(fā)送到云服務(wù)供應(yīng)商的網(wǎng)絡(luò)--這有可能是平臺(tái)即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)，或者軟件即服務(wù)，這種云計(jì)算的興起也引起了大家對(duì)防火墻和IPS的未來(lái)的思考?，F(xiàn)在，你在云服務(wù)(例如亞馬遜)所做的操作與你在企業(yè)內(nèi)部的操作鮮少有聯(lián)系，并且，現(xiàn)在防火墻和IPS主要位于企業(yè)內(nèi)部。

與此同時(shí)，安全行業(yè)還要應(yīng)對(duì)軟件定義網(wǎng)絡(luò)的出現(xiàn)和CloudStack及OpenStack的使用。

“這是一個(gè)顛覆性的轉(zhuǎn)變，”Toubba認(rèn)為，他還指出瞻博網(wǎng)絡(luò)認(rèn)為基于軟件的防火墻等其他安全服務(wù)可以部署到SDN和云計(jì)算技術(shù)。

初創(chuàng)公司Bromium創(chuàng)始人兼首席技術(shù)官Simon Crosby(在XenSource被Ctrix收購(gòu)前，他曾任該公司XenSource創(chuàng)始人兼首席技術(shù)官)并不認(rèn)為傳統(tǒng)防火墻和IPS(或者“下一代”什么)是答案。他表示，公共云技術(shù)和OpenStack是推動(dòng)事情突破的主要力量。

Crosby指出，安全行業(yè)已經(jīng)大范圍“破產(chǎn)”，并且供應(yīng)商在“撒謊”，他警告說(shuō)“任何斷言可以檢測(cè)到攻擊者的技術(shù)都是存在問(wèn)題的。”他認(rèn)為更好地實(shí)現(xiàn)虛擬機(jī)安全的方法將通過(guò)基于CPU保護(hù)和“硬件隔離”來(lái)實(shí)現(xiàn)，“硬件隔離”是以一種新穎的方式利用內(nèi)置英特爾和ARM芯片安全功能。Bromium的vSentry虛擬化安全運(yùn)作方式正如虛擬機(jī)內(nèi)的虛擬機(jī)，對(duì)于windows的攻擊代碼，先隔離再“丟棄”。

這種新想法是否能夠發(fā)揮作用仍然有待觀察。

Gartner的Young表示，即將到來(lái)的SDN技術(shù)并不意味著物理交換機(jī)將退出歷史舞臺(tái)，他指出，這種不成熟的網(wǎng)絡(luò)形式將為通過(guò)控制器編排應(yīng)用程序和自動(dòng)化服務(wù)鏈帶來(lái)新的方式。然而，問(wèn)題是這種技術(shù)肯定會(huì)影響現(xiàn)在防火墻的運(yùn)作方式，目前并沒(méi)有針對(duì)SDN的堅(jiān)實(shí)的安全模型，Young表示：“目前的SDN安全機(jī)制其實(shí)是子虛烏有。”

上一頁(yè) 1 2 3 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊