虛擬數據中心有許多優點——節約成本、靈活性和可擴展性，但是它也存在相應的安全問題。隨著服務器虛擬化的成熟，IT部門發現他們需要采用新的方法來保護系統，防御來自內部網絡（如管理員）和外部網絡的威脅。當然，供應商們也為虛擬網絡安全產品這個新市場做好了準備。

Forrester Research副總裁和首席分析師Chenxi Wang說：“無論在虛擬數據中心內部署什么應用程序，安全策略都應該能夠保證應用程序的數據與運行在物理基礎架構時是完全相同的。因此，為這些應用程序部署的所有安全措施（防火墻規則、網絡分片、反病毒程序和數據控制）都必須復制到虛擬化基礎架構。”

但是，網絡安全控制和網絡管理員在物理基礎架構中使用的方法不能應用于虛擬數據中心。Wang解釋說，例如在物理基礎架構中，管理員可以使用防火墻分隔服務器，但是它在虛擬環境中是不可行的。可能有一臺Web服務器連接外部網絡，另一臺服務器則在內部網絡中，當我們將這兩臺服務器轉移到虛擬基礎架構時，它們就不再運行在兩個獨立的硬件上，而可能是運行在同一臺服務器的兩臺虛擬機上，但是它們仍然需要隔離。

Wang說：“除了VMware之外，現在的虛擬技術本身都不支持控制，所以您需要第三方技術，或者手工保證它們是分隔的。”

對于更復雜的問題，供應商解決數據中心網絡安全問題的方法則略有不同。Wang說，有一些供應商出品了部署在物理服務器上的虛擬網絡安全軟件，還有一些則是直接部署在數據中心的硬件上。

目前，只有少數供應商提供數據中心虛擬網絡安全產品。其中大型供應商包括思科、惠普、Juniper和VMware，小型供應商則有HyTrust、Vyatta和Catbird。

思科虛擬安全網關和ASA 1000V

思科的虛擬安全架構由虛擬安全網關和自適應安全設備 (Adaptive Security Appliance，ASA) 1000V 云防火墻組成。這兩個產品都整合了Cisco Nexus 1000v分布式虛擬交換機，能作為虛擬設備運行在ESX或Cisco Nexus 1010 虛擬服務設備上，這讓思科的產品只能夠運行在思科的環境中。然而，Nexus 1000V支持多個虛擬機管理程序（VMware和未來即將支持的Microsoft Hyper-V），因此對于這些IT部門而言，優點是他們能夠實現一個運行多虛擬管理程序的數據中心。

虛擬安全網關(VSG)是基于域的防火墻，保護特定租賃者的虛擬機內部通信。它支持虛擬機之間的訪問控制。VSG與ASA 1000V整合，ASA 1000V是思科物理安全基礎架構防火墻：思科自適應安全設備(ASA)的云版本。Cisco ASA 1000V云防火墻能夠保證租賃者邊界的安全。

HP TippingPoint保證虛擬安全

惠普推出了虛擬網絡安全產品Secure Virtualization Framework，它由HP虛擬控制器(vController)、虛擬防火墻(VFW)、虛擬管理中心 (VMC)和HP TippingPoint N Series IPS組成。VFW 能夠創建可信域，在虛擬機、集群和應用程序分組中執行分片。vController和VFW位于各個虛擬機管理程序中，可對虛擬機間的流量應用安全策略。它們共同控制虛擬機之間的通信。vController還能夠將流量發送給入侵防御系統（IPS）。TippingPoint N Series IPS可以檢測流量，并根據VMC設置的策略將流量發送回虛擬集群，或者丟棄該流量。

Juniper vGW

Juniper vGW是一個運行在虛擬機管理程序內部的防火墻，能夠在內核中執行安全處理。它只兼容VMware。它與VMware vCenter整合，通過管理控制臺和vGW安全策略進行管理。除了有狀態防火墻功能，vGW還包括合規性、反病毒及監控與報告功能。它是基于Juniper 2010年末收購的虛擬網絡安全公司Altor的技術。

VMware vShield

VMware vShield產品線包括vShield App、vShield Edge和vShield Endpoint。VShield Edge是一個網絡和安全網關，它能夠保護虛擬數據中心邊界。VShield App支持虛擬機內部通信分片，它能夠將應用程序鎖定到某些特定端口和必要服務。VShield Endpoint可以將反病毒功能轉移到一個專用的虛擬設備上，從而減少虛擬機中的反病毒客戶端。這三個軟件產品可以在VMware基礎架構中獨單獨部署或一起部署。

Vyatta OS

這家公司的虛擬路由器軟件Vyatta OS包含了的傳統網絡安全功能——例如，狀態防火墻、基于IPsec與SSL的VPN、網絡入侵防御、Web過濾和動態路由，它可以用作預打包虛擬機。這個軟件運行在虛擬機管理程序中，兼容VMware、Xen、XenServer和Red Hat KVM。Vyatta OS通過命令行、Vyatta的Web GUI或第三方管理系統進行管理。

HyTrust

HyTrust是一個部署在VMware基礎架構的虛擬硬件。這個軟件能夠攔截VMware管理工具的管理請求，根據定義好的策略允許或拒絕請求。HyTrust支持用戶身份驗證，能夠防止對虛擬基礎架構的未授權訪問。例如，如果網絡管理員準備將一個虛擬機連接到錯誤的網段，那么HyTrust 將會阻止這個請求。HyTrust可以與VMware vShield一起使用。

Catbird vSecurity

Catbird vSecurity由一個部署在各個虛擬宿主內的虛擬設備和管理控制臺Catbird 控制中心組成。這個虛擬設備包含四個組件：VCompliance監控和保證合規性。Hypervisor Shield負責監控服務器和網絡，保護虛擬機管理程序不出現未授權訪問、錯誤配置和連接公共網絡。VMshield保護虛擬機本身。如果虛擬機配置不符合策略，那么未修正之前，它會與其余網絡隔離。最后，TrustZones負責保證任意位置的主機安全，它還可用于執行網絡分片。Catbird vSecurity支持VMware和XenServer環境。

【編輯推薦】

1. 虛擬安全技巧：安全規則
2. 用跨平臺虛擬安全工具強化虛擬安全
3. 虛擬安全技巧：易受攻擊的點
4. 賽門鐵克發布《2011中小企業虛擬化調查報告》
5. 巧用三大技巧加強虛擬環境的網絡安全