——进行服务器虚拟化就意味着要重新考虑你的安全部署
恶意管理程序,颠覆性的虚拟机,实时迁移模仿……欢迎来到精彩的服务器虚拟化世界,在这里你将面临前所未有的全新威胁,传统的安全工具比如防火墙和入侵预防系统对此将无能为力。
不幸的是,在许多企业里,安全战略并没有跟上x86服务器虚拟化的步伐。“许多拥有虚拟化环境的公司没有仔细考虑过他们现在所做的一切将会面临的安全后果,”Forrester的一位分析师John Kindervag这样说。
Gartner的Neil MacDonald对此表示赞同。他说,“有关虚拟安全问题的普遍意识水平并不是太高。”
IT专家们往往认为,由于物理和虚拟服务器在同一个硬件上运行相同的Linux和Windows操作系统,那么只要保证前者的安全,后者也就足够安全。“他们会认为什么都没有改变——这是一个非常危险的错误,”MacDonald解释说。
“当进行虚拟化的时候,你引进了一个新的软件层,所有在这个软件层上运行的Windows和Linux工作负载都会依赖于它的完整性。你需要完成的的首要任务是对这个新层面进行全面认知,并围绕它的配置和漏洞管理建立一个安全的体系,”MacDonald说。
其次,需要弄清楚如何应对网络盲点和虚拟化创建,他补充说。
“那些在物理世界中基于网络的防火墙或者IPS并不能对两台虚拟机之间的网络传输进行检测,”MacDonald解释说,“我们需要回答的问题是,为了对虚拟网络流量进行观察,我们是否需要虚拟服务器内部的安全控制?不论是否需要,你都不得不承认这个网络传输的盲点,在发生问题的时候,比如出现虚拟机入侵事件,你可能会对此毫无察觉。”
很多企业对虚拟服务器的安全并不重视,因为他们不具备成熟的虚拟化部署。当虚拟服务器只是被用来进行运行非关键级和低优先级的应用程序测试或者开发,安全问题似乎并无大碍。
但是,现在的变化是虚拟化层面转移到生产环境中并开始托管执行关键任务的应用程序。虚拟化越根深蒂固,就越需要部署安全技术,尤其是那些对虚拟架构进行保护的安全技术。
新的现实
“我们本来认为物理安全可以做到,但是当我们开始发展虚拟化部署的时候,我们感觉到必须采取主动的措施来保证客户信息的安全,”美国康涅狄州托马斯顿储蓄所副总裁兼网管Patrick Quinn说。
这样做能让银行在虚拟环境下建立安全的网段,就像在物理架构中所做的一样。它使用Catbird Networks的vSecurity TrustZones虚拟安全技术,允许不同信用水平的虚拟机共享同一台主机。
TrustZones让Quinn能够对虚拟机之间的信息流量进行控制。Quinn说他为每一个支行和几个主要办公室都建立了TrustZones。
同样,位于加拿大不列颠省的基洛纳卫生局希望能够将虚拟服务器层纳入自己的整个安全架构,信息安全专家Kris Jmaeff称。
“当然我们的目标之一使虚拟化层面具有可见性,”Jmaeff说,“我们在使用虚拟传感器来检测虚拟服务器世界或者集群中的信息流量这一点上已经有所突破。”
为此,卫生局正在测试惠普TippingPoint的安全虚拟框架,它可以让安全小组对虚拟服务器、位于VMware平台上的虚拟交换机以及虚拟机的变化进行监控,从而确保安全控制不被篡改和损坏。
此外,恢复TippingPoint 虚拟化IPS与来自Reflex Systems的vTrust虚拟安全技术进行了整合。与Catbird的TrustZones相似,Reflex技术可以让用户们创建可信的网段并执行相应的安全策略,能够像监控器一样过滤和控制虚拟机之间的信息流动。
“我们此次测试的目标是为了增加该领域的知识,对系统架构进行深入的了解,同时为我们在以后将要进行的安全开发做一些准备和计划。这是一个很好的学习并且站在虚拟安全最前沿的机会。”Jmaeff说。
#p#
虚拟安全供应商
除了Catbird和Reflex这两家致力于虚拟服务器安全的公司以外,还有一些其他的虚拟安全创始者,比如Altor Networks,Apani和HyTrust等。除了惠普的TippingPoint,这些供应商的产品包括以安全功能比如访问控制和日志管理见长的CA技术;为虚拟防火墙而开发的Check Point软件技术;有与Altor建立了战略关系的Juniper Networks;还有IBM的IPS和收购了虚拟安全启动Third Brigade的Trend Micro。
“大公司的介入表示这类产品有着一定的市场需求。让所有人都具备虚拟化的安全措施只是时间的问题而已,”MacDonald说。
使用IPS或者反病毒软件,你将会采用与保护物理服务器一样的方式来保护虚拟层,这似乎顺理成章。
但是MacDonald并不同意这种观点。“我们认为不需要在虚拟层中运行IPS或者反病毒软件。相反,良好的配置以及漏洞和补丁管理对于虚拟层而言已经绰绰有余了。”
Kindervag补充说,“有人说大约有40%的现代网络问题与配置或者其他人为错误有关。这让我觉得就这一点而论,如何进行安全化管理比虚拟层安全更为重要。”
“供应商们现在正在讨论的话题是像保护物理环境下的工作负载一样保护虚拟机和它们之间信息流动,”MacDonald补充说,“当你开始将虚拟工作负载与不同的信用水品层面结合到同一个物理服务器上的时候这就显得尤为重要。”
他还建议,在评估虚拟安全产品的时候,选择那些在虚拟环境中进行过运行优化和那些整合入与来自于微软、VMware和Xen这些虚拟化厂商的虚拟化框架的产品。
#p#
固有安全性
美国最大的区域投资公司之一Morgan Keegan保持着一种让自己相当泰然的虚拟安全姿态。“任何时候我们对于安全的关注都不会胜过我们对于虚拟环境下的安全关注。”公司的一位系统工程师Luke MaClain说。
这是因为Morgan Keegan从2008年3月的一个虚拟化项目起,就开始把安全问题列入考虑范围。该公司已经对75%的服务器架构进行了虚拟化,大约包括三个数据中心的基于52台VMware ESX主机的515台虚拟机。
现在特殊的IT运营目标是将公司的传统防火墙中的隔离区(DMZ)引入虚拟环境中去。“我们认为通过把这些物理机引入虚拟环境同时仍旧将它们安置在隔离区中,以便对它们进行管理,这会让我们受益匪浅,”Morgan Keegan的网络系统工程总监Parker Mabry说。
信息安全小组将虚拟防火墙与它们的物理副本也就是Cisco的防火墙进行了对比。他们逐一比较了两者的功能特征。
“通常我们在提出进行信息安全合作的时候得到的答复是‘不’,因此通过获得信息安全来发现在虚拟环境下使用虚拟防火墙的价值对于我们而言是一个重大的胜利。”
为了强化隔离区,Morgan Keegan使用了Reflex的vTrust安全产品。
从操作角度来看,公司通过严格的认证来保证虚拟机的安全,McClain补充说。有了VMware的vCenter虚拟化管理工具和管理界面,“我们对任何虚拟机的登陆权都了如指掌,同时我们也对那些特殊的特别是在DMZ环境中的变化进行着密切的追踪。”
原文名: Virtualisation's security blind spots 作者:Beth Schultz
【本文乃51CTO精选译文,转载请务必标明作者和出处!】
【编辑推荐】
