虛擬化和SDN將增加防火墻安全復雜性

2013-10-14 16:25:25 EP電力信息化網　點擊量：評論 (0)

據國外媒體報道，在過去幾十年中，防火墻一直是互聯網的基于端口的守護者。而現在供應商都在爭相推出所謂的下一代防火墻，因為這些應用感知防火墻可以基于應用程序使用來監控和控制訪問。此外，很多防火墻中加入

King表示，越來越多的客戶開始同時使用其物理和虛擬化下一代防火墻。

但是，NSS實驗室分析師John Pirc警告說，基于管理程序的防火墻和IPS仍然相當新，有個問題是防火墻/IPS供應商并不總是支持多虛擬化平臺。NSS實驗室可能今年會在其實驗室測試基于虛擬機的安全性。

然而，根據Gartner表示，虛擬化防火墻只占整個防火墻的5%不到。Young表示，虛擬化防火墻在特定情況下會讓事情變復雜，即關于它們應該由網絡運營組還是服務器運營組來管理的問題。他指出：“在這個虛擬版本中，存在誰管理什么的復雜性。”

企業正在不斷將數據以及數據處理發送到云服務供應商的網絡--這有可能是平臺即服務、基礎設施即服務，或者軟件即服務，這種云計算的興起也引起了大家對防火墻和IPS的未來的思考。現在，你在云服務(例如亞馬遜)所做的操作與你在企業內部的操作鮮少有聯系，并且，現在防火墻和IPS主要位于企業內部。

與此同時，安全行業還要應對軟件定義網絡的出現和CloudStack及OpenStack的使用。

“這是一個顛覆性的轉變，”Toubba認為，他還指出瞻博網絡認為基于軟件的防火墻等其他安全服務可以部署到SDN和云計算技術。

初創公司Bromium創始人兼首席技術官Simon Crosby(在XenSource被Ctrix收購前，他曾任該公司XenSource創始人兼首席技術官)并不認為傳統防火墻和IPS(或者“下一代”什么)是答案。他表示，公共云技術和OpenStack是推動事情突破的主要力量。

Crosby指出，安全行業已經大范圍“破產”，并且供應商在“撒謊”，他警告說“任何斷言可以檢測到攻擊者的技術都是存在問題的。”他認為更好地實現虛擬機安全的方法將通過基于CPU保護和“硬件隔離”來實現，“硬件隔離”是以一種新穎的方式利用內置英特爾和ARM芯片安全功能。Bromium的vSentry虛擬化安全運作方式正如虛擬機內的虛擬機，對于windows的攻擊代碼，先隔離再“丟棄”。

這種新想法是否能夠發揮作用仍然有待觀察。

Gartner的Young表示，即將到來的SDN技術并不意味著物理交換機將退出歷史舞臺，他指出，這種不成熟的網絡形式將為通過控制器編排應用程序和自動化服務鏈帶來新的方式。然而，問題是這種技術肯定會影響現在防火墻的運作方式，目前并沒有針對SDN的堅實的安全模型，Young表示：“目前的SDN安全機制其實是子虛烏有。”