虛擬伺服器的資訊安全管理有著許多難以克服的課題,包括不同虛擬主機可能需要設定不同安全層級防護機制,而虛擬主機又隨時可能移轉的情況下,網域難以區分,設定與管理也不容易;虛擬主機彼此之間又有相互攻擊的可能性;傳統安全防護方式可能會影響實體機器效能,當每一台虛擬主機進行病毒掃描時,便會發生硬體資源搶奪問題,造成整體效能降低;虛擬主機隨機啟動時的安全防護空隙;難以記錄虛擬化環境中的安全日誌(log),以至於無法遵循資訊安全法規規範等問題,都是企業面臨虛擬化環境下,提供資訊安全防護機制的瓶頸。
|
▲ Deep Security產品元件包括保護多台實體∕虛擬主機的Deep Security Virtual Appliance、提供部署實體∕虛擬主機以執行安全政策的Deep Security Agent、提供集中控管的Deep Security Manager以及可提供Deep Security Manager安全更新的Security Center。 |
有鑑於此,如趨勢科技(Trend Micro)所提供的Deep Security即以虛擬設備的型態提供虛擬主機更深層的安全防護,趨勢科技台灣區技術總監戴燊表示:「Deep Security直接嵌在虛擬化環境Hypervisor,利用VMware所提供的VMsafe API保護所有虛擬主機。」
|
▲ 趨勢科技台灣區技術總監戴燊表示,對於虛擬化環境而言,資訊安全虛擬設備是「必要」而非「選項」。 |
他進一步解釋,若以架構來看,Deep Security安裝在Hypervisor之上,每當管理者建立開啟一台新的虛擬主機,該虛擬主機即可直接受到Deep Security的保護,快速部署到虛擬主機上,「如此一來,既不需要像過去那樣針對每一台虛擬主機重新安裝安全防毒機制,也能解決虛擬化環境中可能發生的各種資訊安全問題。」
Deep Security在9月份發表最新版本,將防毒機制與入侵防禦偵測以模組方式提供企業客戶選擇,授權計價方式以CPU數量為計算單位,而在虛擬化環境支援性方面,趨勢科技技術顧問陳文權補充,目前Deep Security可直接支援VMware虛擬化環境,至於XenServer或Hyper-V甚至是實體主機,則必須另外在該虛擬∕實體主機上安裝Agent才能使用Deep Security。
而在管理介面的部份,陳文權表示:「Deep Security提供獨立運作的主控台(Console)Deep Security Manager,提供管理者集中控管多台實體∕虛擬主機安全設定防護與紀錄等,當虛擬主機移轉時,安全防護設定也能隨著虛擬主機移轉,便不會產生安全防護的空隙。」
戴燊最後強調,對於虛擬化環境而言,資訊安全虛擬設備是「必要」而非「選項」,無論從架構面或者是需求面來看,資訊安全防護必須深入虛擬化環境內才能夠提供完整保護。