虚拟化和SDN将增加防火墙安全复杂性

2013-10-14 16:25:25 EP电力信息化网　点击量：评论 (0)

据国外媒体报道，在过去几十年中，防火墙一直是互联网的基于端口的守护者。而现在供应商都在争相推出所谓的下一代防火墙，因为这些应用感知防火墙可以基于应用程序使用来监控和控制访问。此外，很多防火墙中加入

King表示，越来越多的客户开始同时使用其物理和虚拟化下一代防火墙。

但是，NSS实验室分析师John Pirc警告说，基于管理程序的防火墙和IPS仍然相当新，有个问题是防火墙/IPS供应商并不总是支持多虚拟化平台。NSS实验室可能今年会在其实验室测试基于虚拟机的安全性。

然而，根据Gartner表示，虚拟化防火墙只占整个防火墙的5%不到。Young表示，虚拟化防火墙在特定情况下会让事情变复杂，即关于它们应该由网络运营组还是服务器运营组来管理的问题。他指出：“在这个虚拟版本中，存在谁管理什么的复杂性。”

企业正在不断将数据以及数据处理发送到云服务供应商的网络--这有可能是平台即服务、基础设施即服务，或者软件即服务，这种云计算的兴起也引起了大家对防火墙和IPS的未来的思考。现在，你在云服务(例如亚马逊)所做的操作与你在企业内部的操作鲜少有联系，并且，现在防火墙和IPS主要位于企业内部。

与此同时，安全行业还要应对软件定义网络的出现和CloudStack及OpenStack的使用。

“这是一个颠覆性的转变，”Toubba认为，他还指出瞻博网络认为基于软件的防火墙等其他安全服务可以部署到SDN和云计算技术。

初创公司Bromium创始人兼首席技术官Simon Crosby(在XenSource被Ctrix收购前，他曾任该公司XenSource创始人兼首席技术官)并不认为传统防火墙和IPS(或者“下一代”什么)是答案。他表示，公共云技术和OpenStack是推动事情突破的主要力量。

Crosby指出，安全行业已经大范围“破产”，并且供应商在“撒谎”，他警告说“任何断言可以检测到攻击者的技术都是存在问题的。”他认为更好地实现虚拟机安全的方法将通过基于CPU保护和“硬件隔离”来实现，“硬件隔离”是以一种新颖的方式利用内置英特尔和ARM芯片安全功能。Bromium的vSentry虚拟化安全运作方式正如虚拟机内的虚拟机，对于windows的攻击代码，先隔离再“丢弃”。

这种新想法是否能够发挥作用仍然有待观察。

Gartner的Young表示，即将到来的SDN技术并不意味着物理交换机将退出历史舞台，他指出，这种不成熟的网络形式将为通过控制器编排应用程序和自动化服务链带来新的方式。然而，问题是这种技术肯定会影响现在防火墙的运作方式，目前并没有针对SDN的坚实的安全模型，Young表示：“目前的SDN安全机制其实是子虚乌有。”