混合模式如何影响虚拟网络安全?

日期:2012-5-17作者:Bill Claybrook

【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity 和 CloudSwitch Enterprise。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络与虚拟化>更多

  • SDN为云以及集群带来众多优势

    软件定义的网络定义清晰,正在引领软件定义的基础设施。网络交换控制软件被从交换机硬件中分离出来并在虚拟机实例上运行。

  • vSAN是否依然能够满足企业需求?

    尽管有些企业仍然在使用FC SAN和iSCSI,但是这两种存储方案的市场份额正在不断缩减,而vSAN也许并不是最佳的长期解决方案。

  • 换个角度看容器和hypervisor的关系

    大多数人喜欢将虚拟化技术的两种主要实现方式——容器和hypervisor——以对比的方式进行讨论。这种思路将容器和hypervisor放在对立面上,你怎么看?

  • 用事实告诉你 VMware NSX SDN不容小觑

    无论何时,当一种全新的技术比如软件定义的网络(SDN)开始成型时,在技术人员心中都会有这样的疑问:究竟是大肆宣传还是真的会大受欢迎?

相关推荐

技术手册>更多

  • VDI与存储 第二章

    上周我们推出了《VDI与存储 第一章》技术手册,介绍了如何选择VDI存储、计算VDI存储成本与容量的方法以及VDI存储管理面临的挑战。在本期的《VDI与存储 第二章》中,我们继续分享更多的VDI存储技术,包括VDI存储管理教程,如决定存储需求、如何选择存储类型等,VDI存储策略以及如何平衡VDI中IOPS等等。

  • Windows PowerShell使用说明

    Windows PowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

  • 桌面虚拟化VDI实施流程指导手册

    在之前专题“虚拟桌面基础架构VDI”中,我们探讨了什么是虚拟桌面架构灯。不过对于集中化桌面虚拟化(CDV)目前有几种不同解决方案,这个CDV又被称为虚拟桌面架构(VDI)。这些解决方案各不相同,从内部管理的虚拟桌面到宿主虚拟桌面系统。如何实施CDV?过程中应该注意哪些事项?

  • VMware HA高可用性手册

    什么是高可用性?它与灾难恢复有什么区别?在虚拟环境里达到高可用性的方法有哪些?VMware HA有哪些作用?如何在虚拟环境配置VMware HA故障转移级别?HA出现故障时应该如何解决?

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

改善虚拟网络安全的小提示

为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施:

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity CloudSwitch Enterprise

通过启用混合模式监控虚拟网络流量

不同于很多传统的网络安全工具,虚拟化专用工具可以监控宿主机上hypervisor和虚拟机之间的流量。虚拟网络主要由运行于同一宿主机上的多台虚拟机构成,逻辑上都是相互连接的,所以它们可以互相发送和接受数据。可能一台虚拟交换机会为整个虚拟网络服务,而虚拟交换机通过基于hypervisor的配置信息可以把数据转发到正确的虚拟机。

当启用混合模式时,安全工具可以通过包嗅探器监控流量和虚拟网络传输内容。这些工具通过流量分析判断是否有非法访问,例如未经授权的侵入或错误发送给虚拟机的信息。管理员通过包嗅探器分析虚拟网络性能,找出瓶颈和管理高效的网络数据传输。通过检查网络流量还可以确保即使某台虚拟机被感染,也不会相互攻击。

由于侵入者通过混合模式恶意监测网络流量,您还可以借助混合模式作为旁路包嗅探器以监测哪个vNIC处于非正常状态。

不加管束的混合模式

在某些hypervisor中启用混合模式很容易,但是只建议有深入了解的IT人员去启用该功能。在ESXi中,您可以通过简单几步启用虚拟交换机上的混合模式:登录到vCenter Server > select an ESXi host >选择希望启用的交换机> 然后接受修改。

混合模式还常用于混合云环境。CloudSwitch应用需要ESX虚拟交换机混合模式的支持,实现数据中心和位于外部云中的工作负载的路由。由于CloudSwitch只对云内的服务器流量感兴趣,您可以配置只属于应用的端口。这样,CloudSwitch应用永远不会接收到虚拟交换机上其它节点的数据,因为混合模式只对该独立端口组启用。

在公有云中混合模式也有应用。用户可以在亚马逊EC2中创建启用混合模式的虚拟机。但是,不同于物理机和虚拟机,EC2只会把数据传输到正确地址的vNIC。换句话说,EC2虚拟服务器只会向目标IP或MAC地址发数据,而对于EC2运行于混合模式的虚拟机,是不能接受和嗅探发送到其它EC2虚拟服务器的数据的。

用户可以在运行混合模式的EC2环境中通过安全监控获知是否混合模式被正确关闭,这对于运行关键应用的EC2服务器尤其重要。如果安全监控工具可以嗅探到发送给其它虚拟机的包,那么EC2的混合模式运行不正常——需要引起关注。

最后,虽然混在模式可能会改善虚拟网络安全和效率。但是,如果使用不当,该网络属性会严重危害数据中心。所以,没有经验的IT管理员最好远离混合模式,以确保入侵者不会从虚拟网络中窃取到敏感数据。

本文收录在TechTarget虚拟化技术手册《VMware vSphere虚拟网络技术宝典》中。