混合模式如何影响虚拟网络安全?

日期:2012-5-17作者:Bill Claybrook

【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity 和 CloudSwitch Enterprise。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络与虚拟化>更多

  • SDN为云以及集群带来众多优势

    软件定义的网络定义清晰,正在引领软件定义的基础设施。网络交换控制软件被从交换机硬件中分离出来并在虚拟机实例上运行。

  • vSAN是否依然能够满足企业需求?

    尽管有些企业仍然在使用FC SAN和iSCSI,但是这两种存储方案的市场份额正在不断缩减,而vSAN也许并不是最佳的长期解决方案。

  • 换个角度看容器和hypervisor的关系

    大多数人喜欢将虚拟化技术的两种主要实现方式——容器和hypervisor——以对比的方式进行讨论。这种思路将容器和hypervisor放在对立面上,你怎么看?

  • 用事实告诉你 VMware NSX SDN不容小觑

    无论何时,当一种全新的技术比如软件定义的网络(SDN)开始成型时,在技术人员心中都会有这样的疑问:究竟是大肆宣传还是真的会大受欢迎?

相关推荐

技术手册>更多

  • VDI部署最佳实践指南

    成功部署VDI不是一件简单的事情,幸运的是,有很多方法可以确保成功:关注你的应用程序,精简你的存储系统等等。本期技术手册为你提供正确部署VDI的最佳实践指南。从这里你可以学习一些技巧,克服常见的VDI部署难题。

  • 虚拟桌面基础架构VDI

    VDI,英文全称Virtual Desktop Infrastructure,即虚拟桌面基础架构,正迅速成为一个热门词语。本手册将探讨什么是虚拟桌面架构、与传统桌面解决方案的比较、适用于什么范围以及怎样实施VDI。

  • 虚拟化hypervisor许可指南

    VMware vSphere、Microsoft Hyper-V和Citrix XenServer不仅拥有不同的功能和价格,他们的虚拟化许可策略和价格模式也不同。平台之间的支持也不同。虚拟化许可策略和价格模式对IT组织的预算与运营有深远影响,因此必须仔细决定技术特征和功能。本指南提供VMware、微软和思杰公司的hypervisor许可和价格的比较,帮助您选择适合您组织的最佳hypervisor。

  • VMware vSphere 5.5实用教程

    VMware发布的vSphere 5.5引来业界的关注,vSphere 5.5有哪些特性?升级到vSphere 5.5使大数据管理更加轻松,同时存储性能也得到显著提升。PowerCLI 5.5是大多数VMworld参会人员关心的主题之一,PowerCLI 5.5又有哪些新的功能呢?

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

改善虚拟网络安全的小提示

为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施:

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity CloudSwitch Enterprise

通过启用混合模式监控虚拟网络流量

不同于很多传统的网络安全工具,虚拟化专用工具可以监控宿主机上hypervisor和虚拟机之间的流量。虚拟网络主要由运行于同一宿主机上的多台虚拟机构成,逻辑上都是相互连接的,所以它们可以互相发送和接受数据。可能一台虚拟交换机会为整个虚拟网络服务,而虚拟交换机通过基于hypervisor的配置信息可以把数据转发到正确的虚拟机。

当启用混合模式时,安全工具可以通过包嗅探器监控流量和虚拟网络传输内容。这些工具通过流量分析判断是否有非法访问,例如未经授权的侵入或错误发送给虚拟机的信息。管理员通过包嗅探器分析虚拟网络性能,找出瓶颈和管理高效的网络数据传输。通过检查网络流量还可以确保即使某台虚拟机被感染,也不会相互攻击。

由于侵入者通过混合模式恶意监测网络流量,您还可以借助混合模式作为旁路包嗅探器以监测哪个vNIC处于非正常状态。

不加管束的混合模式

在某些hypervisor中启用混合模式很容易,但是只建议有深入了解的IT人员去启用该功能。在ESXi中,您可以通过简单几步启用虚拟交换机上的混合模式:登录到vCenter Server > select an ESXi host >选择希望启用的交换机> 然后接受修改。

混合模式还常用于混合云环境。CloudSwitch应用需要ESX虚拟交换机混合模式的支持,实现数据中心和位于外部云中的工作负载的路由。由于CloudSwitch只对云内的服务器流量感兴趣,您可以配置只属于应用的端口。这样,CloudSwitch应用永远不会接收到虚拟交换机上其它节点的数据,因为混合模式只对该独立端口组启用。

在公有云中混合模式也有应用。用户可以在亚马逊EC2中创建启用混合模式的虚拟机。但是,不同于物理机和虚拟机,EC2只会把数据传输到正确地址的vNIC。换句话说,EC2虚拟服务器只会向目标IP或MAC地址发数据,而对于EC2运行于混合模式的虚拟机,是不能接受和嗅探发送到其它EC2虚拟服务器的数据的。

用户可以在运行混合模式的EC2环境中通过安全监控获知是否混合模式被正确关闭,这对于运行关键应用的EC2服务器尤其重要。如果安全监控工具可以嗅探到发送给其它虚拟机的包,那么EC2的混合模式运行不正常——需要引起关注。

最后,虽然混在模式可能会改善虚拟网络安全和效率。但是,如果使用不当,该网络属性会严重危害数据中心。所以,没有经验的IT管理员最好远离混合模式,以确保入侵者不会从虚拟网络中窃取到敏感数据。

本文收录在TechTarget虚拟化技术手册《VMware vSphere虚拟网络技术宝典》中。