当前,很多企业纷纷减少IT预算中资本支出的部分,转而把更多的IT消费和预算侧重于战略性的技术上,比如数据保护。同时,这些企业也更加关注虚拟化在下一代的数据中心中所能够扮演的重要角色,即节约硬件采购成本并压缩空间,并延长数据中心的生命周期。在此过程中,调整企业的安全战略以充分发挥虚拟化的优势成为企业不可回避的一个问题。
x86虚拟化平台实现于软件,它与其他软件一样,不可能完全没有安全漏洞。VMware、Xen(现在的名称为Citrix)和微软等大型虚拟化平台软件厂商均已在最近几年内找到各自平台的漏洞,但只要按时打补丁和升级,主机几乎不会受到攻击。ESX等系统管理程序已经过加拿大通信安全部(CSEC)通用标准评估和认证评估与认证方案(CCS)验证,获得了EAL4+级通用标准认证。EAL4+级是在全球范围内受到《通用标准重组协议(CCRA)》的所有签署方最高安全级别的认可。那么,当前虚拟机的安全问题具体表现在哪些方面?产生原因何在?又有哪些有效而可行的解决方案能助企业一臂之力?
虚拟机安全问题及应对之道
(一) 主机/平台安全性
虚拟监控系统(VMM)和虚拟机与物理网络连接的虚拟主机平台在可用配置选项类型方面存在很大差异,这主要取决于系统架构。例如,VMware的ESX虚拟主机服务器平台与Red Hat Linux之间存在着许多相似性。此类系统的稳固性大都能够得到增强,客户可以按照“最佳实践”配置准则来提高系统安全性,其中包括设置文件访问条件、管理用户与用户组、设置日志与时间同步参数。您也可以从The Center for Internet Security(CIS)、NSA和DISA等虚拟化平台厂商处获得许多免费的配置指南。除此之外,瘦身的Hypervisor,如VMware的ESXi仅占用32 MB空间, 有助于可以确保系统更安全、漏洞更少以及补丁次数更少。
(二) 安全通信
如果无法确保主机系统与台式机或VMware vCenter等管理基础设施组件之间的安全通信,那么窃听、数据泄露和中间人攻击等情况便会成为企业安全的严重威胁。如今,大多数知名平台都支持通过SSH、SSL和IPSec展开必要通信,它们会启用这全部三种通信方式或其中的一种。
(三) 虚拟机之间的安全性
虚拟化企业面临的最大安全问题之一是虚拟机间流量的不透明性。主机平台内存在一个能与每台虚拟机连接的虚拟交换机——实际上,主机的物理NIC被抽象成为了交换结构。许多企事业机构早已部署了网络监控与入侵检测解决方案,来提高流量透明度和安全性,便于在出现重大网络问题的第一时间收到预警。随着虚拟交换机的引入,主机上的所有虚拟机之间的流量会全部包含在主机的虚拟交换组件内,从而会严重损害透明度和安全性。幸运的是,大多数企业级虚拟化解决方案都内建有传统第2层交换控制特性,因而您可以在虚拟交换机上创建镜像端口来监控流量。
(四) 主机与虚拟机之间的安全性
“虚拟机逃逸 (VM Escape)”(恶意代码“突围” 虚拟机,在提供支持的虚拟主机上运行)一直以来都是信息安全性社区的热点讨论话题,而且已有种种迹象表明存在发生这种逃逸的可能性。事实上,已有事件能够证实存在此类攻击行为。为避免遭受此类攻击,用户可以下载厂商提供的补丁,但目前最安全的方法是关闭不需要的服务来抵御虚拟机逃逸及其它与虚拟机与主机之间的互动相关的攻击。
(五) 虚拟机泛滥
虚拟机泛滥 (VM Sprawl) 是指虚拟环境中的虚拟机数量出现不受控制的剧烈增长。这可能会导致退役的虚拟机没有从生产虚拟磁盘文件系统卷被刪除。随着时间的流逝,虚拟机泛滥所带来的风险会越来越大:处于睡眠状态的虚拟机将丢失补丁或配置发生更多变化;如果此类虚拟机不符合要求,虚拟机重新与生产中的主机进行连接,则可能会影响到该虚拟机或其它虚拟机的安全运行产生隐患。 为解决虚拟机泛滥及随之引起的安全问题,应设定虚拟机创建限制条件,部署正规流程,设置记录功能,改变控制策略和流程,并制定用于每台虚拟机创建和更换的授权、测试、通信和恢复要求和机制。
(六) 安全人员、服务器配置流程和虚拟化技术的脱节
许多系统管理员缺乏有效保护虚拟环境的专业知识。虚拟化模糊IT人员的角色与职责。例如,一名存储管理员很容易在虚拟机泛滥安装不知情的情况下导致后端存储吞吐量出现瓶頸。虚拟化正在改变传统的服务器配置流程,我们需要建立一个全新的框架来避免发生虚拟机泛滥问题,进而解决隐藏的安全问题。有许多早期部署的虚拟基础设施没有采纳最佳实践基础设施架构的部署。我们应该避免“为虚拟化而虚拟化”的思维定式,将注意力放在“人员、流程和技术”的无缝整合上去创造一个迎合高效企业基础架构平台。高安全性的基础架构是来自于强有力的執法和严格的执行。
戴尔为虚拟机安全保驾护航
(一) 虚拟化设计就绪
戴尔通过流程引导项目相关人员来识别要求和限制,以创建适合不同企业的设计。可以利用戴尔的参考体系结构和现场经验。考虑所有受到影响的最终用户组安全策略、应用程序以及基础架构维护计划,避免实施过程中出现问题。
(二) 虚拟化运营就绪评估
通过此项服务可对当前的虚拟服务器运营流程进行评估,确定其与就绪状态之间所存在的差异,以及提供改进建议。它涉及架构安全性选项、管理职责分离、离线虚拟机保护/更新和虚拟机审查等安全领域。
(三) 虚拟化健康检查
使用《状态检查报告卡》来审计和分析当前虚拟化环境和业务目标, 将发现的结果和建议记录到状态检查报告中, 标识最重要的问题并确定后续步骤。
戴尔安全案例:
戴尔PowerEdge系列服务器配备有嵌入式的Hypervisor,如仅占用32 MB空间的VMware ESXi Edition。这项占地空间更小的Hypervisor可以确保系统更安全、漏洞更少以及补丁次数更少。
另外,在戴尔的EqualLogic存储方面,每个存储资源(LUNS)都有它自身的ACL(access control list, 访问控制列表),所以,即使发生了前端非法入侵,所有数据在后台也是100%安全的。与传统用于保护访问的网络分区(networking zoning)方式相比,这是一个很大的增强特性。vMotion/Live Migration将使区块变得过大,从而使更多服务器得以访问数据存储,造成额外的安全漏洞。为了能自由地将虚拟机从一台物理机转移到另一台上,虚拟机必须保证所有的物理服务器都包括在了FC-SAN网络区块中,否则,当虚拟机抵达新的物理机时,将不再有访问存储的权限。与每个FC-SAN中总是希望控制非常有限的服务器的传统方法不同,在虚拟化的执行过程中,FC-SAN管理员将不得不把更多服务器纳入网络区块,使得出现错误的几率大增,有时甚至会包括一些不必要的服务器,且没有合适的LUN保护,结果造成服务器错误执行并占用并不支持的存储资源。
有人说,企业在部署并实施虚拟化战略时,安全是首当其冲的最重要问题。所谓“知其然,更知其所以然”,将可能产生安全问题的隐患条分缕析,进而制定并贯彻适合企业自身特点的安全策略,“虚拟化”就能真正从“流行”升华为“效益”,助力企业的长期可持续发展。