虚拟化安全：vShield Endpoint和Edge功能

在2010年，VMware把vShield重新定位为用于ESX和ESXi的安全保护套件。该VMware系列的第一部分涵盖vShield Manager、Zones and App。主要针对vShield Edge和Endpoint的功能以及vShield的许可费用问题。

vShield Edge

VMware vShield Zones和App保障的是虚拟系统内的安全性，而vShield Edge的作用范围在外围网络上。它通过安全和网关服务实现对虚拟机的隔离，提供控制区、外网VPN和参数保护等功能实现对多租户云应用环境的支持。

vShield Edge服务包含如下内容：

• 网络地址转换（NAT）。NAT服务保护内部的私有网络跟公网隔离。NAT规则可以设定为只允许拥有私有地址的虚拟机访问。
• 动态主机配置协议（DHCP）。该功能支持IP地址池和一对一的静态IP地址分配。静态IP地址的捆绑可以基于请求终端的vCenter管理对象ID或接口ID进行。
• 站点间VPN。Edge支持在Edge和远程站点间的IPsec（Internet Protocol security）VPN连接。同时也可以支持共享密钥模式，IP地址单向传播而不是采用在vShield Edge和远程VPN路由器之间的动态路由方式。在每个远程VPN路由器之下，您还可以设置多个子网络通过IPSec通道连接到vShield Edge保护下的内网。
• Web负载均衡。vShield Edge提供了HTTP流量的负载均衡功能。负载均衡（包括第七层协议的支持）功能允许Web应用可以自动扩展。您可以把外部（或公网）IP地址映射到一组内部服务器上实现负载均衡。负载均衡器可以接受外部IP地址的HTTP请求并决定使用哪台内部服务器。
• 端口组隔离。该服务在受Edge保护的虚拟机和外部网络之间设置了隔断。端口组隔离和vLAN具有相同的效果，但是不需要交换机链路聚合带来的复杂连接和端口映射规则。
• vShield Edge可以支持各种vSphere的vSwitch模式，标准的、分布式的vSwitch包括Cisco Nexus 1000V都可以。

vShield Endpoint

代替传统的在每台虚拟机内安装极其消耗资源的反病毒/反恶意软件代理程序的方式，vShield Endpoint把反病毒（AV）软件功能卸载到一台专用的虚拟安全设备上。vShield Endpoint驱动在子OS内被加载并链接到某台运行于被保护vSwitch上的专用安全强化虚拟机，通过位于虚拟化管理层上的vShield Endpoint的可加载内核模块（LVM）。

通过这种机制，该专用于安全保障的虚拟机可以透过Endpoint驱动对虚拟机进行病毒和恶意软件监控（目前还不能支持虚拟机内存扫描。）同时，防病毒引擎和签名的升级只需在供应商的AV设备上进行一次就可以，不再需要对运行于每台虚拟机上的AV代理端进行操作。另外，通过AV设备可以进行集中策略管理，这样Endpoint瘦代理端就可很快决定如何处理客户端OS内的恶意文件。

VMware提供了知识库和API，方便安全厂商把自己的产品集成到vShield Endpoint中。现在趋势科技的Deep Security是唯一的可以支持vShield Endpoint的产品，它提供了无客户端保护，不会在客户端虚拟机内留下任何痕迹。不过其他的厂商，如McAfee和Symantec已经宣布不久他们也将推出Endpoint兼容产品。

vShield Endpoint现在仅支持运行于虚拟机上的32位和64位Windows操作系统。

vShield授权

vShield Manager和原始的vShield Zones产品在vSphere Advanced、Enterprise 和Enterprise Plus版本中都有包含，其中Zones是基于每台宿主机进行授权的。

同时，vShield Endpoint、Edge和App需要单独授权，以25台虚拟机为一个授权包。每个vShield产品都已经包含在vShield的下载中，只不过额外的这些产品需要在vCenter Server中使用授权码来激活才可用。

vCloud Director产品中包含了vShield Edge，vCloud Director授权码可用于激活vShield Edge的相关功能。在VMware View Premier版中也含有一个vShield Endpoint授权码。在vShield系列的下一部分，我们将关注vShield的部署以及配置和管理技巧。

未经允许不得转载：DOIT » 虚拟化安全：vShield Endpoint和Edge功能