虛擬化監(jiān)控：公有云的困境

部署公有云現(xiàn)在似乎已經(jīng)成為了企業(yè)轉(zhuǎn)型的新常態(tài)，據(jù)思科(Cisco)預(yù)測，到2019年，將有逾一半(56%)的云端工作負(fù)載集中于公有云。這意味著公有云將以44%的數(shù)字同比增長。如此巨幅的增長，或許證明了目前公有云的實際情況已經(jīng)遠遠超越了我們預(yù)估的水平。

眾所周知，公有云普及速度如此之快的原因是在于公有云比企業(yè)內(nèi)部運行環(huán)境成本更低，并且兼具彈性和可擴展性。然而有得必有失，有些取舍是顯而易見的。迄今為止，由于這些公有云或多或少都缺乏透明，所以到目前，關(guān)于云安全性是否值得信賴依然是個問題。的確，企業(yè)需要對其公共虛擬化環(huán)境進行監(jiān)控以確保其與本地部署和私有云環(huán)境一樣穩(wěn)健。

但事實上大多數(shù)企業(yè)通常并非如此。在對一系列企業(yè)的虛擬化實踐調(diào)研時，我們發(fā)現(xiàn)只有37%的企業(yè)采取與物理虛擬化環(huán)境相同的標(biāo)準(zhǔn)來監(jiān)控虛擬化環(huán)境。當(dāng)我們看到高達67%的受訪者在公有云中都部署有關(guān)鍵業(yè)務(wù)應(yīng)用程序時，這個問題就顯得尤為突出了，因為它們的日常運作完全依賴于一個非透明的環(huán)境。目前公有云在可視性方面仍存在巨大差距，各企業(yè)已迫不及待的想要解決這個問題。

幸運的是，遵循以下四個原則就能提升公有云的可視性。企業(yè)只要在轉(zhuǎn)入公有云之前實施它們，就可以確保在新的虛擬化環(huán)境中輕松而有效地開展安全監(jiān)控。

復(fù)制——從數(shù)據(jù)中心的虛擬機提取想要的流量作為副本，以便企業(yè)可以進行更詳細(xì)的進一步檢查。流量復(fù)制非常簡單，可以通過虛擬TAP(vTAP)或數(shù)據(jù)包捕獲代理來實現(xiàn)。

過濾器——利用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備控制虛擬流量進入主機計算機的速率。在該過程中，東西向流量(在您數(shù)據(jù)中心的設(shè)備之間)和南北向流量(出入您的數(shù)據(jù)中心)之間的差異很重要。在虛擬化環(huán)境中，東西向流量占總流量的比例更大，因此需要對其進行過濾以阻止系統(tǒng)負(fù)載過量。

數(shù)據(jù)包處理和整理——將您的數(shù)據(jù)包分解成可管理的塊，從而使安全工具更加高效。數(shù)據(jù)包處理，數(shù)據(jù)包整理和代理都是很有用的流程。

分析——最后，您需要部署智能分析工具，并通過它們過濾流量(現(xiàn)在進行流量的仔細(xì)分解并組織成可管理的數(shù)據(jù)包)。您可以在同一主機網(wǎng)絡(luò)上完成此操作，或者，如果要處理特別大的流量，可能需要從外部進行過濾，在這種情況下，您可以使用隧道協(xié)議通過主機管理出口。此階段的要點是分析每個數(shù)據(jù)包的威脅，確定在部署公有云之前應(yīng)識別主要的薄弱之處。