1.5 云和虚拟化安全
云计算和虚拟化技术的采用同样改变了安全技术的格局,导致防火墙技术的更新换代。服务器虚拟化的优势已然被人们广泛接受,很多企业已经部署了这一类的技术。随着企业将关键任务系统虚拟化,这些企业也必须考虑制定和实施相应的安全规则。对于传统防火墙和安全设备而言,虚拟化环境带来的难题之一在于,虚拟设备(VM)之间的流量往往根本不会离开物理设备进行传输。因此,物理防火墙、IPS设备或者其他安全设备也就没法部署在这些虚拟设备之间来对它们进行隔离、查看和控制。在图1-11所示的示例中,我们在一台物理服务器上部署了4个VM。而这些VM之间的流量并不会离开这台物理服务器。
为了解决这些问题,Cisco创建了Cisco ASA 1000V云防火墙。它是一款只能在VMware vSphere Hypervisor软件和Cisco Nexus 1000V系列交换机上运行的虚拟设备(边缘防火墙)。Cisco ASA 1000V云防火墙可以让虚拟数据中心中的VM安全地访问互联网和企业网络中的其他区域(包括建立区域间的通信),它可以充当VM的默认网关,保护VM免受网络攻击的威胁。Cisco ASA 1000V云防火墙对Cisco虚拟安全网关(VSG)可感知环境安全策略进行了补充,可以动态实现安全策略,并且在VM实例化和迁移期间建立可靠区域。
Cisco应用中央架构(ACI,Application Centric Infrastructure)集成了(物理和虚拟的)Cisco ASA,以便在数据中心环境中实现应用集中安全自动操作。这种解决方案提供了一种创新的安全服务导入型框架,可以解决当今网络威胁格局所面临的难题。Cisco应用策略架构控制器(APIC)是实现网络服务自动操作和策略控制的中央设施。在应用网络中,网络技术人员和网络管理员可以用它来自动实现安全服务的配置与部署,因此它的使用要比使用那些传统的流量控制技术和拓扑限制技术来的更加简单。
将Cisco ACI解决方案和Cisco ASA结合起来使用,可以在防火墙、入侵防御系统、VPN服务和下一代安全服务系统中,自动配置、管理和更新安全策略。这种服务策略自动操作功能可以通过开放的RESTful API(数据格式使用JSON和XML)来实现。
总结
网络安全这门学科在实施的过程中务须谨慎。目前有许多技术可供网络管理员防止黑客获得私有网络及计算机系统的权限。本章对与Cisco ASA集成特性集相关的各类技术、原则和协议进行了概述。在本章的前几节中,我们对各类防火墙技术及实施方法作了一个大体的概述。接下来,我们介绍了IDS和IPS解决方案。在后面的一节中,本书对站点到站点和远程访问VPN技术进行了深入的讨论。此外,我们也介绍了云与虚拟化安全这一领域,其中涵盖了下一代安全的概念(如Cisco ACI解决方案与框架)。
[1] 所谓APT(Advanced Persistent Threat)指未经授权的用户不仅获取到网络的访问权限,并且人不知鬼不觉地在网络中访问了相当长的一段时间,并利用这段期间窃取网络数据(而不是破坏网络)的网络威胁形式。在从信息科技(IT)向数据科技(DT)转轨的时代,窃取数据造成的破坏往往大于破坏网络系统本身,这便是这类攻击诞生的背景。——译者注
[2] Cisco已于2015年10月以4.53亿美元的价格收购了Lancope。——译者注