VMware vShield：让虚拟比物理更安全？

VMware凭借vShield产品在安全和网络管理领域迈出了重要一步。作为“安全混合云”项目的一个组成部分，VMware发布了新的安全产品。

VMworld 2010大会上，演讲者详细介绍了所有三款产品，并一概而过地提到了VMware的安全理念（VMware并没有提供相关介绍的幻灯片，笔者只匆匆记了一些笔记）。围绕VMware安全产品方面的信息包括以下几点：

1、安全性太过复杂，并且需要很多单独的设备来配置和控制

2、现在hypervisor层也涉及到了安全性

3、虚拟机中的工作负载要比物理系统中的工作负载更安全

4、相比目前最先进的产品，使用vShield的用户可以削减安全成本达5倍，同时提升整体安全性

你认同所有这些观点吗？当然，安全性的确非常复杂，但是其他的呢？

从简化的角度来说，将安全性放进hypervsior层是有重要意义的，当然这样会减少配合和管理任务。但是将安全性和hypervisor联系在一起会不会让事情变得太过简单了？产品中是否有足够的可配置性来处理企业的独特需求？

另外还存在对这是否会影响整体虚拟机和系统性能的问题。在vShield下，处理安全任务的单独硬件已经是过去的事了——安全性转移到了hypervisor层中，防止客户虚拟机遭受入侵和垃圾邮件等。例如，你可能每台物力主机只有一个防火墙来保护运行在这台主机中的所有虚拟机。

VMware演讲人也坦言，这将给主机系统增加巨大的处理负载，但同时也表示，这个需求并不会对现有工作负载有太大影响，因为CPU仍然没有得到充分利用，甚至是在高度虚拟化的系统中。

他们还指出，取消安全设备将削减多余的处理，因为这样避免了无数单独的设备，同时可能节约成本。

本次VMworld 2010上倍受人们关注的这三款vShield安全产品分别是vShield Edge、vShield App和vShield Endpoint。

vShield Edge是一款网关产品，提供了你可能会在硬件网络设备中找到的防火墙、DHCP、VPN和负载均衡等常见功能。vShield App通过监控虚拟机之间的网络传输来维持分列和强制隔离的策略来保护托管在虚拟机中的单个应用。它有点像是介于物理分离系统之间的虚拟“空隙”。vShield Endpoint则是一个反病毒解决方案，使用一个安全的虚拟机来处理整个主机的检查任务。

VMware迈出的这一步十分重要，同时也是一个不错的策略。用户关于云（内部云和外部云）的很多问题都是围绕着安全召开的，这些产品表明VMware将安全性视为他们产品集的一个重要组成部分。同时，这也让VMware的产品有着与微软、Xen和KVM的显著差异。这还让VMware进入到企业系统管理领域，可能面对的竞争对手包括Tivoli、CA和惠普等。