如何使用VMware防火墻作為縱深防御戰(zhàn)略的一部分?
簡單而言就是沒有哪一種安全產(chǎn)品或技術(shù)是萬能的。長久以來,整個行業(yè)已經(jīng)認(rèn)識到一個分層的托管安全實施是確保企業(yè)及其系統(tǒng)安全性的最佳方法。在本文中,我將介紹一下企業(yè)可以如何使用VMware防火墻技術(shù)的應(yīng)用來增強分層縱深戰(zhàn)略的。
vCloud的網(wǎng)絡(luò)和安全性
目前的vCloud網(wǎng)絡(luò)與安全產(chǎn)品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全組件如下:
vCloud Networking and Security Edge (即之前的vShield Edge)
vCloud Networking and Security App (即之前的vShield App)
vCloud Networking and Security Data Security (即之前的vShield Data Security)
外圍保護(hù)
我們首先從數(shù)據(jù)中心的外圍開始,使用vCloud Networking and Security Edge來提供“信任區(qū)”分割。這可以是在一個多租戶環(huán)境中以租戶之間的隔離為寬度,或者在一個單一租戶環(huán)境中以DMZ和/或VPNextranet隔離為粒度。
基于vCloud Networking and Security Edge的防火墻過濾要優(yōu)于普通的IP地址過濾。
除了超出預(yù)期的過濾功能以外,vCloud Networking and Security Edge的其他可用功能還包括眾多數(shù)據(jù)中心周邊所預(yù)期的通用服務(wù):
DHCP(從一個預(yù)定義的資源池中為一臺服務(wù)器動態(tài)分配或綁定一個特定的地址)
VPN (IPsec和SSL)
NAT(靜態(tài)和動態(tài))
負(fù)載平衡(基本的HTTP(80)和HTTPS(443)負(fù)載平衡)
應(yīng)用程序保護(hù)
下一個防護(hù)層是直接在用戶想要保護(hù)的應(yīng)用程序前部署安全組件。
首先,需要指出的是vShield App防火墻并不是一個七層的防火墻,它只是局限于第二、第三層的過濾。也就是說,vShield App有著幾個值得注意的獨特功能:
流量監(jiān)控為網(wǎng)絡(luò)和應(yīng)用程序的流量狀況提供了實時的顯示。
SpoofGuard可阻止未知的虛擬機發(fā)送或接受流量,除非該操作已在vShield策略中明確。
雖然vShield App防火墻并不是我們所熟悉的傳統(tǒng)七層應(yīng)用程序防火墻,但是它確實超越了傳統(tǒng)IP地址過濾的方法,它允許基于邏輯結(jié)構(gòu)創(chuàng)建策略,例如vCenter服務(wù)器容器和vSheild安全組。
數(shù)據(jù)保護(hù)
vCloud Networking and Security Data Security是一個易于使用、圖形用戶界面驅(qū)動的數(shù)據(jù)丟失保護(hù)(DLP)軟件,它可針對敏感數(shù)據(jù)提供掃描和報警服務(wù)。該產(chǎn)品部分基于RSA DLP技術(shù),并包含了來自于全球(包括北美、EMEA、亞太等地區(qū))的80個法規(guī)模板——例如個人身份信息、PCI DSS持卡人數(shù)據(jù)和受保護(hù)健康信息等。該產(chǎn)品可輕松實現(xiàn)客戶虛擬機下的數(shù)據(jù)分類,并能針對用戶數(shù)據(jù)提供完整的可見性。
最后的思考
VMware的vCloud Networking and Security在筑牢數(shù)據(jù)中心安全性籬笆方面還有很長的一段路要走,而且請記住它在第七層所提供的保護(hù)是非常有限的。但是,如同其他大多數(shù)安全產(chǎn)品一樣,它并不是靈丹仙藥;用戶仍然需要采取額外的保護(hù)措施以便于配合vCloud Networking and Security的部署,同時還要有一個縱深防御的戰(zhàn)略。
用戶仍需面對的風(fēng)險包括:SQL注入、跨站點偽造請求(CSRF)攻擊,所以用戶應(yīng)在完成VMware防火墻技術(shù)技術(shù)部署之后還應(yīng)對當(dāng)前威脅環(huán)境中各類事件的應(yīng)對預(yù)案做好規(guī)劃。SQL注入風(fēng)險可能是最有可能通過利用好內(nèi)置功能來解決的(例如Apache包括可針對一般攻擊提供保護(hù)的Mod安全應(yīng)用程序防火墻,其中就包括了SQL注入)。CSRF攻擊則可通過使用Apache Tomcat CSRF預(yù)防過濾器來減輕。
