Компания VMware в прошлом году приобрела компанию Blue Lane Technologies, ориентированную на безопасность виртуальной инфраструктуры, вместе с продуктом Virtual Shield. В течении небольшого времени компания VMware провела его ребрэндинг и скоро выпустит под названием VMware vShield Zones.
vShield Zones представляет собой промежуточный слой между гипервизором ESX Server и виртуальными машинами с гостевыми ОС. По сути это сетевой экран, контролирующий сетевой трафик виртуальных машин, приходящий и уходящий с хостов ESX.
Преимущества такой технологии очевидны: такой vShield не требует агентов в гостевых ОС и может централизованно обеспечивать безопасность хостов. Из картинки видно, что безопасность зон средствами vShield будет обеспечиваться на уровне портгрупп на vSwitch:
Таким образом, после развертывания VMware vShield наша инфраструктура будет выглядеть так:
Управление безопасностью происходит на основе политик, которые могут применяться к различным объектам: VLAN, port group, network segment. vShield имеет большие перспективы применения в решениях VDI (VMware View), где требуется постоянная защита виртуальных настольных ПК. В консоли vShield Zones Management Console можно смотреть Flow Chart-диаграммы в реальном времени.
В итоге, какие функциональные особенности имеет VMware vShield:
Разделение виртуальных машин на изолированные и защищенные зоны безопасности.
Запрет взаимодействия для конкретных служб (http, ftp и т.п.).
Создание политик на уровне виртуального датацентра, кластера или ВМ.
Единый мониторинг зон безопасности.
Мониторинг сессий – в контексте приложения и групп виртуальных машин.
Возможность создания демилитаризованной зоны в виде программно-аппаратного модуля («DMZ-in-a-box»).
Продукт vShield Zones будет использовать технологию VMsafe, однако первая версия выйдет пока без поддержки данной технологии. Ходят слухи, что продукт будет включен в VMware vSphere (бывший ESX).