部署虛擬設備 做好網路安全管理

虛擬設備型態具優勢  

在談企業要不要選擇虛擬設備做為虛擬化架構下的解決方案之前，讓我們先來了解一下何謂虛擬設備（Virtual Appliance）。顧名思義，虛擬設備最直接的反義詞便是實體設備（Physical Appliance），過去在實體環境中，許多網路管理或資訊安全機制以實體設備（也就是單機式完整解決方案）型態存在，然而，當企業IT環境逐漸走向虛擬化，許多實體伺服器以及服務都移轉到虛擬機器上運作，以往的網路安全或過濾管理設備，開始無法確認並有效控管虛擬化環境下，這些虛擬機器上搭載的應用系統到底是如何運作，甚至無從得知該應用系統是否從A虛擬機器移轉到B虛擬機器上，造成虛擬化環境下，網路與資訊安全的危機與漏洞。  

更嚴重的是，實體機器裡的數台虛擬伺服器彼此之間可能相互攻擊、或是由外而來的針對虛擬伺服器特有的駭客攻擊等，也都是目前現有的實體設備較難以設防的網路資安疑慮。於是，虛擬設備的資訊安全與網路管理產品因應而生，其與主機式軟體解決方案不同的地方在於，主機式軟體解決方案必須另外開啟一台虛擬伺服器、進行作業系統安裝與網路環境等繁瑣設定之後再安裝軟體，而虛擬設備則是以實體設備「封裝」成一台軟體型態的虛擬設備，IT管理人員僅需將其「安裝」到實體主機上，即可視為虛擬化環境中的一台虛擬設備。  

採用虛擬設備的好處

虛擬化最顯而易見的好處，即在於可節省實體設備的硬體空間、資源以及系統運作電力等成本支出，此外，諸如虛擬化可獲得更具建置與移轉彈性等好處，同樣也是採用虛擬設備所能獲得的優勢。接著我們來比較一下虛擬設備與傳統實體設備或主機式軟體解決方案的差別。

相較於主機式軟體解決方案，對於系統管理者而言，虛擬設備的管理操作方式與過去實體設備的方式較為接近（有些設備甚至幾乎是提供相同且能虛實共用的操作與管理介面），而且虛擬設備的效能也比主機式軟體解決方案來得優異─畢竟在虛擬化的環境下，兩者仍是「（虛擬化）單機式」vs.「（虛擬化）軟體式」的差異。  

從架構面來看，虛擬設備也比主機式軟體解決方案來得更具備高整合性。主機式軟體解決方案是安裝在虛擬化環境中Hypervisor之上的虛擬伺服器裡，換言之，其與Hypervisor之間還隔著一台虛擬主機的作業系統，而虛擬設備則直接與虛擬化環境下的Hypervisor進行溝通，不少虛擬設備都是直接嵌在Hypervisor之上的架構，無論上頭開啟多少台虛擬主機，都能受到虛擬設備的保護與管理。  

如果和實體設備相比，虛擬設備的特點更加不言而喻。過去實體設備在控管網路或資訊安全時，僅須針對實體伺服器的網路設定與流量封包進行控管即可，然而當多台實體伺服器虛擬化成虛擬伺服器之後，這些網路管理與資訊安全實體設備僅能看到搭載這些虛擬伺服器的實體主機，而無法確實辨識與管理虛擬伺服器以及彼此間的傳輸流量，對於隨時新增或移轉的虛擬伺服器，更難以徹底管控與防護。  

趨勢科技台灣區技術總監戴燊即表示：「過去實體設備能夠有效防護實體伺服器所遭受到的資訊安全攻擊，但當多台虛擬伺服器存在於一台實體主機裡頭時，這些虛擬伺服器很可能會彼此攻擊，此時在外的資訊安全實體設備根本沒有辦法提供有效的防護措施。」這也是業者建議企業用戶在保護虛擬化環境時採用虛擬設備最主要的原因之一  

虛擬設備無法做到的侷限

然而，雖然虛擬設備聽起來是如此美好，能夠提供企業用戶完整保護虛擬化環境，但虛擬設備仍有其先天性的侷限以及目前發展上的瓶頸等待克服，企業用戶在評估考量時可留意以下幾點可能出現的狀況。  

虛擬化環境與版本支援性
首先，最基本的評估需求，即在於各家廠商所提供的虛擬設備支援哪些虛擬化環境與作業系統。最多虛擬設備支援的當然是目前虛擬化解決方案市佔率最高的VMware，如果企業的虛擬化環境採用的是VMware，其導入虛擬設備時所面臨的支援性與相容性問題相對較低，而如果企業採用的是Citrix的Xen或微軟（Microsoft）的Hyper-V，則必須確認這些虛擬設備是否有支援上述虛擬化環境。  

▲ 虛擬化環境面臨的安全防護挑戰包括應提供休眠狀態的虛擬主機安全防護、防止虛擬主機之間系統資源相互爭奪問題、當虛擬主機擴展或移轉（vMobility）時的網路政策與資安防護、以及虛擬主機之間流量的網路與安全控管等難題。（圖片提供：趨勢科技）

除了虛擬設備將擴大其所能支援的虛擬主機之外，目前各家虛擬主機廠商也正在評估與支援OVF（Open Virtualization Format，開放標準虛擬化檔案格式）的可能性，「待虛擬化應用日趨成熟普及，未來企業內的虛擬化環境將會趨於混合平台，也就是同時採用多家虛擬主機作為虛擬化環境應用，此時無論虛擬主機或虛擬設備都應該能夠具備跨平台的特性。」（更多精彩文章詳見網管人第57期﹚