虚拟化和移动技术安全策略的规划,即使对有经验的IT人员也是一种挑战。随着二者快速成为主流,安全挑战和难题开始普遍存在。同时移动设备也为虚拟化安全带来全新挑战。
企业已经发现,在管理实践方面略加改进就可以弥补安全差距。在虚拟设施之下部署全新的复杂基础架构和专属应用,通常可以在安全方面带来明显改善。
根据Voodoo Security公司的创建者和首席顾问Dave Shackleford的说法,虚拟化环境有多种安全方式。管理员可以选择部署基本的补丁和配置管理实践,或更为复杂的虚拟化防火墙和入侵检测应用。
找到适合你的虚拟化安全方法
作为云计算安全联盟( Cloud Security Alliance)在亚特兰大地区的领导者,Shackleford指出虚拟环境中的安全问题需要从多个点考虑:虚机、虚拟网络、hypervisor和管理系统等,而每个点所采用的安全策略都要分开考虑。
“虚机就是由代表了某个物理机的一组文件组成,”Shackleford说,而且很多企业开始认识到虚机存在相当大的安全风险,因为数据中心的服务器不再是位于机房的机架中,而是整个系统都运行于SAN(storage area network)存储系统之上。
“企业逐步意识到对SAN安全方面做得不多,”他说。例如,虚机在做快照或备份的时候,有时在活动内存中存在一些单独的文件。假设当信用卡正在交易时可能会导致这一敏感信息驻留在内存文件中,这就为袭击者“可以访问该文件时把数字提取出来”提供了可能。
对应的,一些企业开始考虑部署加密技术—专用于虚机或者SAN和存储资源的。
已有大量的脚本和商业化技术用于审计和普通的配置管理,例如在VMware或Center for Internet Security强化指南中描述的内容。还有商业化的工具针对集中化的配置策略及管理员角色用户和组管理等,Shackleford提到。多数的主流安全和网络供应商已经创建或修改虚拟网络安全产品,使其可以分析进出虚拟环境的流量,包括虚拟架构内部虚机和应用之间产生的流量,他说道。
协调IT人员构建更好的安全措施
在管理方面也有很多变化。事实上,安全和管理人员也会从虚拟化中获益,因为它创建了一个可以使用虚拟模板的集中环境,而且附加了来自VMware或其它平台供应商的工具来协助简化补丁管理。
“这是个很大的改善,因为对于大型的、分布式的环境而言,这通常是个大挑战,”Shackleford提到了VMware最近收购的Shavlik Technologies,该公司拥有一个复杂的补丁管理工具,这是一种趋势的开端。它可以实现从一个统一界面完成到所有虚拟组件和虚机的升级。
另一方面,在虚拟环境中反恶意和反病毒软件也是管理员面临的挑战之一。尤其是对采用共享资源的虚机而言。“如果虚机都运行在同一个hypervisor上,而且共享hypervisor集群、一组CPU和内存资源,那么传统的基于代理的反恶意解决方案不能很好地工作,因为它们都属于资源密集型需求的,” Shackleford说。
尽管如此,还是有些厂商走在了前沿。McAfee和 Trend Micro现在已经有了对多台虚机集中进行反恶意进程管理的方法。虽然这些方法还不成熟,但是“这些功能已经开始在成熟曲线上爬升”。
最后,对于使用了虚拟化管理组件的公司而言,这些依然“可能是最不安全的——阿喀琉斯之踵”Shackleford说道。虚拟化组应该集中关注这些系统,因为一旦有人控制了它们,游戏就结束了。缺乏认证管理、补丁管理和配置实践将使这些组件易受攻击。或许正确地锁定系统(通常是借助密码)完善健全的认证管理控制,将极大地改善安全性。