虚拟化安全,或 安全虚拟化,是指基于软件并设计用于在虚拟化 IT 环境中工作的安全解决方案。这与传统的、基于硬件的网络安全不同,后者是静态的,在传统防火墙、路由器和交换机等设备上运行。
与基于硬件的安全相比,虚拟安全是灵活和动态的。它不是绑定到设备,而是可以部署在网络中的任何地方,并且通常基于云。这是虚拟化网络的关键,其中运营商动态启动工作负载和应用程序;虚拟化安全允许安全服务和功能随那些动态创建的工作负载移动。
云安全考虑(例如在公共云环境中隔离多租户环境)对于虚拟化安全也很重要。虚拟化安全的灵活性有助于保护混合和 多云 环境,其中数据和工作负载围绕涉及多个供应商的复杂生态系统迁移。
虚拟化安全的好处是什么?
虚拟化安全现在对于跟上虚拟化网络的复杂安全需求来说是非常必要的,而且它比传统的物理安全更加灵活和高效。以下是它的一些具体好处:
- 成本效益:虚拟化安全允许企业维护安全网络,而无需大量增加昂贵的专有硬件支出。基于云的虚拟化安全服务的定价通常由使用情况决定,这对于高效使用资源的组织来说意味着额外的节省。
- 灵活性:虚拟化安全功能可以在任何地方跟踪工作负载,这在虚拟化环境中至关重要。它在多个数据中心以及多云和混合云环境中提供保护,使组织能够充分利用虚拟化的优势,同时保持数据安全。
- 运营效率:比基于硬件的安全性更快、更容易部署,虚拟化安全性不需要 IT 团队设置和配置多个硬件设备。相反,他们可以通过集中式软件设置安全系统,从而实现快速扩展。使用软件来运行安全技术还可以实现安全任务的自动化,从而为 IT 团队腾出更多时间。
- 法规遵从性:传统的基于硬件的安全性是静态的,无法跟上虚拟化网络的需求,这使得虚拟化安全性成为需要保持法规遵从性的组织的必要条件。
虚拟化安全如何工作?
虚拟化安全可以将传统安全硬件设备(如防火墙和防病毒保护)的功能通过软件部署。此外,虚拟化安全还可以执行额外的安全功能。由于虚拟化的优势,这些功能才成为可能 ,并且旨在解决虚拟化环境的特定安全需求。
例如,企业可以在应用层和底层基础设施之间插入安全控制(例如加密),或者使用微分段等策略来减少潜在的攻击面。
虚拟化安全可以直接作为裸机管理程序上的应用 程序 (它可以利用一个位置来提供有效的 应用程序监控)或作为虚拟机上的托管服务来实现。在任何一种情况下,它都可以快速部署在最有效的地方,这与绑定到特定设备的物理安全不同。
虚拟化安全有哪些风险?
虚拟化安全性增加的复杂性对 IT 来说可能是一个挑战,这反过来又会导致风险增加。在虚拟化环境中跟踪跨服务器迁移的工作负载和应用程序变得更加困难,这使得监控安全策略和配置变得更加困难。启动虚拟机的简易性 也可能导致安全漏洞。
然而,重要的是要注意,许多这些风险已经存在于虚拟化环境中,无论安全服务是否虚拟化。遵循 企业安全 最佳实践(例如在不再需要虚拟机时关闭虚拟机并使用自动化使安全策略保持最新)可以帮助降低此类风险。
物理安全与虚拟安全有何不同?
传统的物理安全是基于硬件的,因此是不灵活和静态的。传统方法取决于部署在网络战略点上的设备,并且通常侧重于保护网络边界(与传统防火墙一样)。然而,虚拟化、基于云的网络的边界必然是多孔的,并且工作负载和应用程序是动态创建的,从而增加了潜在的攻击面。
传统安全还严重依赖端口和协议过滤,这种方法在地址和端口动态分配的虚拟化环境中无效。在这样的环境下,传统的基于硬件的安全是不够的;基于云的网络需要能够随工作负载和应用程序一起在网络中移动的虚拟化安全性。
有哪些不同类型的虚拟化安全?
虚拟化安全有许多特性和类型,包括网络安全、应用程序安全和云安全。一些虚拟化安全技术本质上是传统安全技术(例如下一代防火墙)的更新、虚拟化版本。其他的则是内置于虚拟化网络结构中的创新新技术。
一些常见类型的虚拟化安全功能包括:
- 细分,或使特定资源仅对特定应用程序和用户可用。这通常采用控制不同网段或层之间的流量的形式。
- 微分段,或在工作负载级别应用特定的安全策略来创建细粒度的安全区域并限制攻击者在网络中移动的能力。微分段将数据中心划分为多个分段,并允许 IT 团队为每个分段单独定义安全控制,从而增强数据中心对攻击的抵抗力。
- 隔离或分离同一网络上的独立工作负载和应用程序。这在多租户公共云 环境中尤为重要, 还可用于将虚拟网络与底层物理基础设施隔离,保护基础设施免受攻击。