混合模式如何影响虚拟网络安全?

日期:2012-5-17作者:Bill Claybrook

【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity 和 CloudSwitch Enterprise。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

网络与虚拟化>更多

  • VMware NSX在实际应用中更受用户青睐

    我们最近采访了Sugar Creek 公司的高级网络工程师Wes Dawes,讨论了网络的方方面面—从他自己的开发经历聊起,一直到整个行业的变革。

  • VMware定位NSX-T:支持非vSphere环境

    随着VMware的NSX虚拟网络软件在vSphere中获得关注,VMware为非vSphere环境设计的版本提供了更多的力量。VMware似乎已经准备好冲出其专有的领域。

  • SDN为云以及集群带来众多优势

    软件定义的网络定义清晰,正在引领软件定义的基础设施。网络交换控制软件被从交换机硬件中分离出来并在虚拟机实例上运行。

  • vSAN是否依然能够满足企业需求?

    尽管有些企业仍然在使用FC SAN和iSCSI,但是这两种存储方案的市场份额正在不断缩减,而vSAN也许并不是最佳的长期解决方案。

相关推荐

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
【TechTarget中国原创】

我们注意到在虚拟网络中,启用混合模式存在其优劣势。如果正确地使用则可以在降低风险的同时提高虚拟架构中网络的安全性和效率。

改善虚拟网络安全的小提示

为确保虚拟网络安全和防止虚拟机模仿其它虚拟机,您可以采取如下几个防御措施:

混合模式下,虚拟网卡设备(可以是网络适配器或虚拟机网卡vNIC)可以拦截和访问虚拟网络中的数据包,包括发送给其它vNIC的包。如果关闭混合模式,vNIC通常会自动丢弃发送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V),而其它的如VMware vSphere则支持。

多年来,支持混合模式成为管理和监控物理网卡和交换机的重要内容。现在的虚拟网络正在经历类似的过程,出现了一些基本的管理和性能优化工具,例如Catbird Networks Inc.’s vSecurity CloudSwitch Enterprise

通过启用混合模式监控虚拟网络流量

不同于很多传统的网络安全工具,虚拟化专用工具可以监控宿主机上hypervisor和虚拟机之间的流量。虚拟网络主要由运行于同一宿主机上的多台虚拟机构成,逻辑上都是相互连接的,所以它们可以互相发送和接受数据。可能一台虚拟交换机会为整个虚拟网络服务,而虚拟交换机通过基于hypervisor的配置信息可以把数据转发到正确的虚拟机。

当启用混合模式时,安全工具可以通过包嗅探器监控流量和虚拟网络传输内容。这些工具通过流量分析判断是否有非法访问,例如未经授权的侵入或错误发送给虚拟机的信息。管理员通过包嗅探器分析虚拟网络性能,找出瓶颈和管理高效的网络数据传输。通过检查网络流量还可以确保即使某台虚拟机被感染,也不会相互攻击。

由于侵入者通过混合模式恶意监测网络流量,您还可以借助混合模式作为旁路包嗅探器以监测哪个vNIC处于非正常状态。

不加管束的混合模式

在某些hypervisor中启用混合模式很容易,但是只建议有深入了解的IT人员去启用该功能。在ESXi中,您可以通过简单几步启用虚拟交换机上的混合模式:登录到vCenter Server > select an ESXi host >选择希望启用的交换机> 然后接受修改。

混合模式还常用于混合云环境。CloudSwitch应用需要ESX虚拟交换机混合模式的支持,实现数据中心和位于外部云中的工作负载的路由。由于CloudSwitch只对云内的服务器流量感兴趣,您可以配置只属于应用的端口。这样,CloudSwitch应用永远不会接收到虚拟交换机上其它节点的数据,因为混合模式只对该独立端口组启用。

在公有云中混合模式也有应用。用户可以在亚马逊EC2中创建启用混合模式的虚拟机。但是,不同于物理机和虚拟机,EC2只会把数据传输到正确地址的vNIC。换句话说,EC2虚拟服务器只会向目标IP或MAC地址发数据,而对于EC2运行于混合模式的虚拟机,是不能接受和嗅探发送到其它EC2虚拟服务器的数据的。

用户可以在运行混合模式的EC2环境中通过安全监控获知是否混合模式被正确关闭,这对于运行关键应用的EC2服务器尤其重要。如果安全监控工具可以嗅探到发送给其它虚拟机的包,那么EC2的混合模式运行不正常——需要引起关注。

最后,虽然混在模式可能会改善虚拟网络安全和效率。但是,如果使用不当,该网络属性会严重危害数据中心。所以,没有经验的IT管理员最好远离混合模式,以确保入侵者不会从虚拟网络中窃取到敏感数据。

本文收录在TechTarget虚拟化技术手册《VMware vSphere虚拟网络技术宝典》中。