前言

實現虛擬化的最終目標是節省IT的資本成本和運營成本。然而，虛擬化除了以虛擬伺服器為中心，更擴及以資訊安全為主體的UTM(Unified Threat Management)，來提升從網路層(Network Layer)到應用程式層(Application Layer)的安全，讓IT部門對網路安全與資料安全整體的保護水準能夠提升。因此，要打造出一個能夠在虛擬化的環境中提升資訊安全的品質，就是要能夠迅速佈署，且多層次控管安全，並且能夠快速從失能中復原，並且立刻回應變更需求，進行監督的IT部門不需要也不會造成大量作業負擔。

UTM虛擬化的問題

隨著VMware伺服器虛擬化平臺vSphere的推出，VMware對於虛擬機器所採行的保護方式也有所改變，利用新加入的VMsafe API，讓第3方的資安廠商開發出專門用於虛擬環境的防護產品。就做法而言，VMsafe的相關產品是透過一臺虛擬設備（Virtual Appliance）的監控，替代原本安裝於各臺虛擬機器常駐的主機型（Host-based）防護產品如Host IPS/IDS、防毒軟體...，提供安全服務，同時降低防護產品對於vSphere伺服器的資源使用，維持或者提高虛擬機器的服務效能。

根據VMware網站的資料，所有版本的vSphere，及4.0版本後的ESX/ESXi，皆已針對VMsafe提供支援。VMsafe一共包含vCompute（CPU/Memory）、vNetwork Appliance（DVFilter），及Virtual Disk Development Kit（VDDK）等3種API，分別提供不同層級的防護服務。

vCompute

vCompute保護的對象為虛擬機器的記憶體及處理器（vCPU），可防止惡意程式利用應用程式的漏洞，執行緩衝區溢位等攻擊，致使虛擬機器遭到破壞。
根據VMware原廠資料的說法，這個API的控管深度，可達虛擬機器的BIOS，也就是說，當虛擬機器啟動後，整個環境便能受到防護軟體的監控，進一步降低虛擬機器遭受攻擊的可能性。

vNetwork Appliance

多數的相關產品都是透過此一API提供服務，因此可以將它視為VMsafe的典型應用。vNetwork Appliance的實作方式分為Fast Path，及Slow Path等2種，都需要整合Hypervisor層當中的原生虛擬交換器，或者是第3方廠商推出的虛擬交換器、虛擬UTM產品，例如Cisco的Nexus 1000V與Fortinet的FortiGate-VM，才能提供服務。

其中，Fast Path在架構上與虛擬交換器（vSwitch）完全整合，當防護產品所在的虛擬設備與VMsafe完成介接後，虛擬交換器即變成一臺虛擬的防護設備。就功能而言，Fast Path是在虛擬交換器轉發封包的同時，執行簡單的檢測，所以對於虛擬網路的效能不會有太大影響，換句話說，也就是具備較好的流量處理效能。

相對於Fast Path，Slow Path可以進行深層的封包檢測，當產品部署完成後，虛擬交換器會將進、出虛擬交換器的封包，轉送到虛擬設備做檢查，確認為正常封包後就會放行通過。

而就現有的產品來說，有Trend Micro的Deep Security與虛擬UTM產品Fortinet的FortiGate，也有整合VMsafe的產品，稱之為FortiGate Virtual Applicances。

Virtual Disk Development Kit

VDDK的功能以病毒防護為主，透過這個API，虛擬設備便能將其他虛擬機器的VMDK檔，掛載成為本機磁碟，在離線狀態下，掃描虛擬機器內部的所有檔案。VDDK本身不具備即時掃描的功能，此一部份需要由廠商自行開發掃描引擎，以安裝檔的型式部署到虛擬機器。

提供 IT 部門多種選擇

虛擬UTM佈署

有鑑於此， Fortinet藉由深耕多年資訊安全方面的技術，開發出專門運用於VMware虛擬化環境的UTM解決方案- FortiGate Virtual Appliances，FortiGate Virtual Appliances可以提供相同於硬體UTM的功能，如Firewall、IPS、Anti-virus、Web filter、Appliance control、Anti-spam、SSL VPN 、Web Optimization、High Availability、DLP...，並且可以同時整合Fortinet FortiManager與FortiAnalyzer，做快速且大量設備的集中控管與Log集中資料收集，並減少營運管理上的複雜度。如此能有效保護企業內重要業務伺服器的運作與資料的外洩，更可以提升資訊安全的保護水準，進而節省企業對於資訊服務的投資成本。

以下將介紹FortiGate Virtual Appliances在VMware ESX/ESXi安裝佈署流程：
1.從support.fortinet.com下載FortiGate Virtual Appliances source file並且解壓縮
2.在VMware vCenter 選File --> Deploy OVF Template


3.選擇到剛剛下載FortiGate Virtual Appliances目錄


4.選擇目錄中的Fortigate-VM.ovf


另外其他檔案說明如下表




5.確認安裝檔案無誤


6.同意法律聲明


7.給予Hostname，並選擇安裝在哪個Location


8.選擇使用哪個Resource Pools


9.Fortigate-VM會自動列出來能用的vSwitch/vdSwitch網路卡


網路卡對應表


10.確認安裝資訊無誤


11.開始Deploy FortiGate-VM


12.安裝完成


13.在vCenter畫面中就會多一台Fortigate-VM Guest Machine


14.使用Guest Machine console確認Fortigate-VM開機成功


15.登入console畫面並設定Fortigate-VM interface IP

16.使用Browser連線Fortigate-VM，並匯入License file


License key 申請規格有2vCPU、4vCPU 、8vCPU等三種，規格如下表：


17.接下來設定IP、Routing、Firewall、IPS、Anti-Virus......功能，都相同於實體UTM設定方式


進階虛擬環境

Fortinet除了FortiGate Virtual Appliances解決方案外，還提供了設備集中管理的FortiManager-VM、 事件紀錄集中收集分析的FortiAnalyzer-VM與阻擋垃圾郵件的FortiMail-VM，可以直接佈署在VMware ESX Server上，既可以節省硬體成本外，也不需要更改網路架構。

Fortinet UTM虛擬化的優勢

透過與VMware合作的UTM虛擬化解決方案，並運作在的虛擬化環境，能夠提供以下其他解決方案無法達成的優勢：

部署Fortinet的FortiGate Virtual Appliances，可協助後端虛擬化環境，更有效防護應用程式資訊安全水準，提高服務效率。

Fortinet的FortiGate Virtual Appliances、FortiManager-VM、FortiAnalyzer-VM、FortiMail-VM一體化平臺，可滿足業務擴展需求與頻寬使用量增加。

透過FortiGate Virtual Appliances可以讓設備管理人員減少工作，在後端VM網路架構調整時，可新增或移除Vlan、Link Aggregation、 Interface redundancy、Software switch設定，無須購買設備。

可以讓vCenter即時調整資源或進行維護，而不需FortiGate Virtual Appliances管理人員調整設備。

大量減少因為VM架構調整與Policy測試問題，而產生的部門往返工作事項。

降低虛擬化環境後的OPEX 及CAPEX。

依據實際資安事件突發狀況或可預期的壓力服務，進而提高SLA 及QoE，確保商業服務正常。

功能比較表



FortiGate Virtual Appliances是Fortinet的技術核心，也是要為客戶的虛擬化環境提供量身訂製的多層次資訊安全(Multi-Threat Security)解決方案，協助克服IT複雜性並確保成本效益的購置和完整的投資保障。

參考文件

1.FortiGate Virtual Appliances，Data Sheet，Fortinet
2.以VMsafe防護虛擬環境，IThome online，IThome
3.Securing Virtual and Cloud Environments，White Paper，Fortinet