為什麼傳統防火牆難以靈活為虛擬化提供保護？

虛擬化能快速複製，並自動轉存到世界各地的伺服器之中，這種靈活性雖有其優勢，不過亦由於其靈活性，往往令管理過程變得十分複雜；在可見的將來，大家將會見到很多傳統的方案均會轉到虛擬化，而這個過程尤其對於一些大規模的方案相信會更快出現。

不過問題來了，虛擬化改變了一直以來實體伺服器的種種相對方案；換句話說部份傳統的方案應用到虛擬化上，不但不能得到應有之效，而且更有機會影響虛擬化本身的優勢；其中傳統的硬件式防火牆假使間需要應用到虛擬化的環境時，便會出現問題了。

為什麼傳統防火牆未能應用到虛擬化之中？

虛擬化的網絡流量是通過虛擬網絡 Virtual Network 的形式傳送，而且本身為了能模擬出更真實的環境，於是在虛擬網絡之間便出現了一種名為 vNID（Virtual Network Interface Device）以便於作為區分；換句話說虛擬化之內，流量將會以 vNID 以及 IP 的形式出現；然而傳統的硬件式防火牆往往未能分析到虛擬機器 vNID 的配置，更不用說能辨識到 VM 的實體了。

針對上述提到的問題，有些傳統的防火牆便放棄此部份，並專心應對網絡出口的流量安全性又或者轉投 DDoS 防禦行列；情況就好像是一直以售賣硬件賺取收入的公司，一下子轉換成只出售軟件；一來利潤或相對會較少，二來就是過往研發的技術難以持續下去，又或者需投放大量資源針對虛擬化而開發虛擬防火牆，試問又有多少家廠商願意這樣做呢？

針對虛擬化保安的軟件方案

要針對虛擬化提供有效的安全防護，軟件方案將會是其中一個選擇。提到軟件式的方案，近日 Kaspersky 便推出了一套名為 Kaspersky Security for Virtualization Light Agent 的方案，此方案支援 Hyper-V、Citrix XenServer；假如再配合上 Kaspersky Security for Virtualization 的 Agentless 方案相互使用下，更可擴展其對 VMware 的支援。

上述提及的 Light Agent 技術，其實是廠商專為 Microsoft Hyper-V 和 Citrix XenServer 優化的安全解決方案；至於針對 VMware，早前 Kaspersky 推出的 Kaspersky Security for Virtualization 的 Agentless 方案便已可針對 VMware 作出防禦。

根據代理指出，現時無論是 Light Agent 方案，抑或現有的無代理程式方案，用戶只需購買一個 Kaspersky Security for Virtualization 的系列授權，就能靈活選擇兩種安全方案的保護，方便企業用戶按未來發展靈活部署。

虛擬化的危機？

在每一個虛擬化系統的建立時，背後卻有種針對虛擬化桌面的實際威脅正以「防護間隙(Instant-on gap)」的形式悄然發生。「防護間隙」是指由建立虛擬機器後，直到保安軟件將最新安全更新下載到每台機器前的時間差。在安全更新未完成之前，虛擬機器非常不安全。如果多個用戶同時下載更新，或者有數天的安全更新需要處理，這種保安脆弱期可能長達數小時。而當虛擬化桌面上的安全資料庫處理更新時，虛擬伺服器的資源也會被大量佔用。導致網絡性能不佳，亦大大降低企業對虛擬化投資的回報。

Light Agent 優勢

Kaspersky Security for Virtualization Light Agent 會通過專門的虛擬裝置(Virtual Appliance)在虛擬化平台(Hypervisor)層面執行不同的安全進程，透過這種應用疏導虛擬網絡檔案及流量，令虛擬機器在啟動的同時已能得到安全防護，而且無需重複將惡意軟件資料庫推送給每台機器。而透過智能掃描技術，企業亦能避免重複掃描同一檔案，藉以優化系統資源的運用及分配。

在安全保護方面，Light Agent 模式亦比無代理保安方案更勝一籌。無代理的性能優勢在於所有防護任務都由專門的虛擬裝置進行，不佔用虛擬機器資源，不過這也限制了軟件在虛擬端點執行進階管理和網絡防護的能力。無代理安全模式能有效防護一般惡意檔案，卻未能全面防護其他網絡威脅（如蠕蟲或其他高級威脅等）。

而 Light Agent 則會在每台虛擬機器上安裝一個輕巧的軟件代理，所需資源較少，並可執行更多防護功能，包括應用程式控制 (Application Controls)、裝置控制 (Device Controls)、網頁使用策略 (Web Usage Policies)、主機入侵防禦系統 (HIPS) 和防火牆，而且在部署時更無需重啟系統，減少對日常運作的影響。

另一方面，Light Agent 亦備有 Kaspersky 的啟發式防護及即時網絡威脅更新。根據廠商消息指出，現時在方案之中亦將會提供目前僅適用於 VMware 環境的 Kaspersky Security for Virtualization Agentless，為無網絡連接的資料中心或伺服器環境，以及對整合比例和自動保護有嚴格要求的環境提供。

管理與授權

最後值得一提的是用戶可通過 Kaspersky Security Center 中央管理平台同時管理 Kaspersky Security for Virtualization 以及其他 Kaspersky 的方案，讓管理人員可即時掌握企業實體及虛擬網絡的防護狀態，抵禦外來威脅及進行日常管理任務。

至於在授權模式方面，現時只需一個 Kaspersky Security for Virtualization 的統一授權，就可以同時選用 Agentless 及 Light Agent 雙重安全方案。另外據官方消息指出，企業使用者更可以根據「虛擬機器數量」（適用於已知虛擬伺服器和桌面的準確數量）或「CPU 核心數量」（虛擬化使用硬體中的 CPU 核心數量）來購買許可，以便於進行更靈活的配置。

Kaspersky Security for Virtualization | Light Agent 適用平台：
VMware ESXi 5.1 及 5.5 hypervisors
Microsoft Hyper-V Server 2008 R2 / 2012 hypervisor
Citrix XenServer 6.0.2 / 6.1 hypervisor.