跨平台虚拟安全把物理机器与虚拟机放在一个逻辑的安全区,并且通过确保流氓虚拟机不是这个逻辑区的成员并且不能同与它们无关的安全区进行通讯来防止虚拟机蔓延。事实上,它们之间是相互看不到的。通过严格控制对各个区域的访问,被攻破的虚拟机的攻击平台区域将显着减少。跨平台方法通常是以分布式的 P2P架构为基础的,允许升级到成千上万的实例。只需点击几下鼠标就能完成政策管理,更新部分或者全部端点政策。
其它好处包括:
·消除由一种竖井式的方法给数据中心安全造成的管理复杂性,通过一个单个的控制台保护主机。
·不用重新配置即可满足遵守法规的要求。
·消除与防火墙和虚拟局域网有关的经营成本。
·利用一种分布式架构消除瓶颈和单个的故障点。
当评估一个跨平台的虚拟安全解决方案时,请考虑如下要求:
·跨平台支持(虚拟的和物理的):理想的解决方案将支持在虚拟化环境中常见的x86操作系统以及其它常见的和很少见的架构,如Solaris、AIX、HP-UX、RedHat、Windows和基于IP的非服务器设备。
· 不依赖IP地址:理想的解决方案应该强制执行安全政策,不管这个计算机的IP地址是什么,保证在移植或者物理移动时政策的一致性。
·在同一台主机上隔离虚拟机:要保护虚拟机防止出现由于安全漏洞引起的虚拟机蔓延,理想的解决方案是能够在同一台物理主机上把虚拟机相互隔离开。
·方便地升级:要支持增长不出现瓶颈,要寻找能够在分布式架构中运行的解决方案。
·有选择的加密:寻找能够根据政策提供有选择的加密的解决方案,不要采用“要么全加密要么全不加密”的解决方案,以实现最佳的性能与保护比例。
·集中的管理:要利用管理的效率,可以寻求一个提供单点安全管理的解决方案。
·基于主机的实施:要达到安全政策的最大精细程度和移动性,要寻求一个在主机上强制执行政策的解决方案。
·对基础设施和应用程序透明:要减少部署时间和兼容性问题,理想的解决方案对于网络和应用程序的操作是透明的。
·强大的活动和审计登记:理想的解决方案应该登记详细的活动数据并且创建一个服务器和端点以及管理控制台的审计跟踪记录。
·基于认证的身份识别:寻求一个使用X.509第三版证书的解决方案以保证操作者的证书不被假冒。
服务器虚拟化运营好处和经济好处是毋庸置疑的。跨平台虚拟安全消除了服务器虚拟化和强大的安全之间的取舍,应用一种合乎逻辑的扩展到物理和虚拟数据中心的安全模式,保持虚拟机迁移的一致性。简言之,跨平台虚拟安全能够让机构全面地向服务器虚拟化过渡,同时简化其强制执行安全政策的方法。
