剖析VMware安全套件Vshield三大部分

日期: 2011-03-08 作者:Eric Siebert翻译:张冀川 来源:TechTarget中国 英文

VShield是VMware的安全产品套件,旨在对ESX和ESXi提供内置的保护。   第一款安全产品是vShield Zones,它是vSphere初期发行版的一部分,提供了基本的虚拟网络安全。从那时起,VMware对vShield Zones进行了升级,增加了如下安全组件: vShield Manager,用于对vShield进行集中管理;vShield App,提供额外的虚拟网络安全;vShield Edge,对孤立的虚拟机提供安全和网关服务;以及vShield Endpoint,对客户操作系统提供防病毒保护,只占用很少的资源。   vShield 4.1套件支持VMsafe API,这……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

VShield是VMware的安全产品套件,旨在对ESX和ESXi提供内置的保护。

  第一款安全产品是vShield Zones,它是vSphere初期发行版的一部分,提供了基本的虚拟网络安全。从那时起,VMware对vShield Zones进行了升级,增加了如下安全组件:

  • vShield Manager,用于对vShield进行集中管理;
  • vShield App,提供额外的虚拟网络安全;
  • vShield Edge,对孤立的虚拟机提供安全和网关服务;以及
  • vShield Endpoint,对客户操作系统提供防病毒保护,只占用很少的资源。

Vshield

  vShield 4.1套件支持VMsafe API,这意味着你不再需要内联运行的vShield代理虚拟机来保护孤立的虚拟交换机之上的虚拟机。除了在虚拟交换机级别提供保护,vShield现在能够在虚拟网卡级别提供保护。

  新的产品线令人印象深刻,但也更加复杂,理解每个产品以及它们之间的关联关系可能有些困难。在Vshield系列文章中的这一部分,TechTarget中国特约专家Eric Siebert探讨vShield Manager、vShield Zones 以及vShield App。

  VShield Manager

  VShield Manager作为一个虚拟设备部署,包括了部署在每个主机上的vShield代理。VShield Manager管理vCenter Server整个基础架构以及vShield组件。

  VShield Manager支持高可用性以及分布式资源调度,因此它可以在主机间迁移。一旦部署完成,可以通过Web界面、vCenter Server插件、命令行,管理vShield Manager,借助REST API,甚至可以通过脚本管理vShield Manager。

  REST API使用安全的HTTP请求执行远程过程调用,通过vShield Manager创建,修改或者删除vShield内的对象。REST API同样可以帮助自动化部署vShield。

  VShield Zones

  VShield Zones对虚拟机内部和外部网络流量提供基本的虚拟网络防火墙。它作为一个可加载的内核模块和虚拟设备部署在主机上。

  VShield Zones基于可定义的策略,作为应用层监控虚拟机流量防火墙。基于标准开放系统互联模型,可以定义两种类型的规则:第4层(传输层)规则以及第2层和第3层(数据链路层和网络层)规则。第4层规则可以在数据中心对象、集群对象或者端口组对象上配置。另一方面,第2层和第3层规则只能在数据中心对象上配置。

  VShield Zones是一个基于IP的,有状态的防火墙,也是一个应用层的网关。第4层防火墙规则基于5个元素序列(5元组)定义和执行:

  • 源IP地址;
  • 目的IP地址;
  • 源端口;
  • 目的端口;和
  • 协议(TCP/UDP)。

  同时,可以配置更广泛的目标应用程序协议。防火墙规则按照自上而下的顺序强制执行。可以把防火墙规则看作一个电子表格清单。一旦防火墙检测到与一个规则相匹配的流量,就停下来使用这个规则。即使在下面的列表中存在更匹配的规则,防火墙仍会忽略。

  VShield App

  实际上VShield App不是一个单独的产品,使用升级许可密钥后,vShield Zones变成了vShield App。VShield App提供额外的特性以及加强的保护,包括:

  • 检测虚拟机之间的通信,获取整个虚拟基础架构正在使用的详细的应用程序和协议流量,流量监控输出定义虚拟机正在和哪个应用程序交换数据。监控到的数据包括会话,数据包,以及每个会话传输的位。会话详情包括会话的来源,目的地以及流向,应用程序以及正在被使用的端口。会话详情可以被用来创建应用程序防火墙(vShield App防火墙)的允许或拒绝规则。
  • 安全组可以被用来把相关的虚拟机按照虚拟网卡归为一组。安全组定义好之后,可以被添加为防火墙的一个保护规则。
  • SpoofGuard授权VMware Tools记录的IP地址,如果需要,可以修改这些IP地址以预防电子欺骗。SpoofGuard内在地信任VMX 文件和vSphere SDK收集的虚拟机MAC地址。SpoofGuard独立于应用防火墙规则单独运行。

  一旦升级到vShield App,管理标签上的“区域防火墙”链接将变更为“应用防火墙”。“安全组”,“SpoofGuard”以及“流量监控”链接也将被激活。

  vShield系列文章的第二部分将讨论vShield Endpoint,vShield Edge, 以及vShield许可,请继续关注。

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐