你是否需要在虛擬服務(wù)器內(nèi)部署防火墻或者入侵防御系統(tǒng)來(lái)查看虛擬網(wǎng)絡(luò)流量？

惡意管理程序、破壞性虛擬機(jī)、實(shí)時(shí)遷移模擬器等歡迎來(lái)到服務(wù)器虛擬化世界。在服務(wù)器虛擬化世界，威脅都是新的，防火墻和入侵防御系統(tǒng)這些傳統(tǒng)安全工具不再能夠阻止威脅。

不過(guò)，在很多企業(yè)，安全策略并沒(méi)有因?yàn)檗D(zhuǎn)移到x.86服務(wù)器虛擬化而發(fā)生改變?！昂芏嗥髽I(yè)都有虛擬環(huán)境，但是卻沒(méi)有對(duì)這些虛擬化部署任何相應(yīng)的安全措施，完全沒(méi)有考慮后果，”Forrester研究所分析師John Kindervag表示。

Gartner研究所的Neil MacDonald也同意這樣的說(shuō)法：“企業(yè)對(duì)于虛擬化安全問(wèn)題的認(rèn)識(shí)完全沒(méi)有達(dá)到預(yù)期的水平，甚至遠(yuǎn)遠(yuǎn)不夠?！?/P>

對(duì)于這些企業(yè)來(lái)說(shuō)，他們的IT專業(yè)人士往往是這樣看待的：由于物理服務(wù)器和虛擬服務(wù)器都是在相同的硬件上運(yùn)行相同的Linux和Windows操作系統(tǒng)，那么為前者部署的安全措施肯定也適用于后者，“他們認(rèn)為一切都沒(méi)有改變，而這是一個(gè)致命的錯(cuò)誤，”MacDonald表示。

“當(dāng)你選擇虛擬化時(shí)，你就引入了一種新層面的軟件，在其上運(yùn)行的Windows和Linuc系統(tǒng)的所有工作負(fù)載都依賴于它的完整性。首先也是你需要做的最重要的事情就是認(rèn)識(shí)這個(gè)新層面，并圍繞這個(gè)新層面的配置和漏洞管理部署基本的安全防御措施，”MacDonald表示，“這是最基本的安全問(wèn)題，也是有待解決的安全問(wèn)題。”

其次，IT部門需要弄清楚如何處理虛擬化制造的網(wǎng)絡(luò)安全盲點(diǎn)，他補(bǔ)充說(shuō)。

“我們?cè)谖锢憝h(huán)境部署的基于網(wǎng)絡(luò)的防火墻或者入侵防御系統(tǒng)完全無(wú)法查看在相同硬件中部署的兩臺(tái)虛擬機(jī)之間傳輸?shù)牧髁?，”MacDonald表示，“我們需要回答的問(wèn)題是：我們需要在虛擬服務(wù)器內(nèi)部署安全控制來(lái)查看虛擬網(wǎng)絡(luò)流量嗎？也許你已經(jīng)部署了安全控制，也許你沒(méi)有，但是你必須意識(shí)到物理環(huán)境的安全控制無(wú)法查看虛擬環(huán)境的流量，如果虛擬環(huán)境發(fā)生安全問(wèn)題，例如內(nèi)部虛擬機(jī)攻擊，你將無(wú)法察覺(jué)?！?/P>

很多企業(yè)并沒(méi)有側(cè)重于虛擬服務(wù)器安全，因?yàn)樗麄兊奶摂M化部署并不成熟。并且虛擬服務(wù)器只是被用來(lái)測(cè)試和開(kāi)發(fā)的目的或者用來(lái)運(yùn)行不重要的低優(yōu)先級(jí)別的應(yīng)用程序，讓企業(yè)感覺(jué)安全并不是那么重要。

但是當(dāng)虛擬層轉(zhuǎn)移到生產(chǎn)環(huán)境來(lái)承載關(guān)鍵任務(wù)應(yīng)用程序時(shí)，安全問(wèn)題就變得很重要。隨著虛擬化環(huán)境應(yīng)用的不斷深化，圍繞虛擬環(huán)境部署專為保護(hù)虛擬基礎(chǔ)設(shè)施的安全技術(shù)的需求也隨之加強(qiáng)。

認(rèn)清這個(gè)事實(shí)

“我們?cè)?jīng)認(rèn)為物理安全能夠保護(hù)虛擬環(huán)境的安全，但是隨著虛擬化部署的不斷深化，我們感覺(jué)到我們必須確保采取積極主動(dòng)的安全措施來(lái)保護(hù)客戶重要信息，”Thomaston Savings銀行的助理副總裁和網(wǎng)絡(luò)管理員Patrick Quinn表示。

為了確保虛擬環(huán)境的安全，該銀行在虛擬環(huán)境中建立了安全網(wǎng)絡(luò)段，并部署了與物理環(huán)境中等量的安全措施。他們使用Catbird Networks的vSecurity TrustZones虛擬安全技術(shù)，允許不同信任級(jí)別的虛擬機(jī)共享一個(gè)主機(jī)。

TrustZones可以讓Quinn根據(jù)安全政策來(lái)控制虛擬機(jī)間傳輸?shù)牧髁?，例如，Quinn表示他為每個(gè)分公司建立了信任區(qū)，也為總部建立了幾個(gè)信任區(qū)。

同樣的，英國(guó)的醫(yī)療衛(wèi)生機(jī)構(gòu)Interior Health Authority則希望在其整體安全架構(gòu)中植入虛擬服務(wù)器層，信息安全專家Kris Jmaeff表示。

“當(dāng)然，我們的主要目的之一就是希望能夠擴(kuò)大虛擬化層內(nèi)的能見(jiàn)度，”Jmaeff表示，“在虛擬服務(wù)器環(huán)境中，我們主要有幾個(gè)區(qū)域需要使用虛擬傳感器來(lái)檢測(cè)流量。”

為此，Interior Health醫(yī)療機(jī)構(gòu)政策測(cè)試惠普TippingPoint的安全虛擬框架（Security Virtual Framework），該框架可以允許安全團(tuán)隊(duì)來(lái)檢測(cè)vSwitch（虛擬機(jī)平臺(tái)內(nèi)的虛擬交換機(jī)）以及虛擬機(jī)變化來(lái)確定篡改或者安全控制的破壞。

此外，惠普公司TippingPoint虛擬入侵防御系統(tǒng)還整合了來(lái)自Reflex系統(tǒng)公司的vTrust虛擬安全技術(shù)。與TrustZones類似的是，Reflex技術(shù)可以幫助用戶框架可信任網(wǎng)絡(luò)段并執(zhí)行安全政策，以及監(jiān)測(cè)、過(guò)濾和控制虛擬機(jī)到虛擬機(jī)的流量。

“我們對(duì)測(cè)試版進(jìn)行測(cè)試的主要目的是為了加強(qiáng)我們對(duì)虛擬安全技術(shù)的認(rèn)識(shí)，更加深入的了解基礎(chǔ)設(shè)施，并對(duì)我們將來(lái)要部署的安全措施進(jìn)行提前規(guī)劃和設(shè)計(jì)。這是我們學(xué)習(xí)和了解虛擬安全最前沿技術(shù)的好機(jī)會(huì)，”Jmaeff表示。

Catbird和Reflex是專攻虛擬服務(wù)器安全的兩家公司，另外涉足虛擬服務(wù)器安全技術(shù)的新公司還包括Altor Networks、Apani和HyTrust，以及很多成熟的安全廠商：例如惠普TippingPoint，還有提供訪問(wèn)權(quán)限控制和登錄管理等安全功能的CA技術(shù)公司;提供虛擬防火墻技術(shù)的check Point軟件公司;與Altor有戰(zhàn)略合作關(guān)系的Juniper網(wǎng)絡(luò)公司;提供入侵防御系統(tǒng)技術(shù)的IBM公司以及收購(gòu)了虛擬安全公司Third Brigade公司的趨勢(shì)科技公司。

“隨著大公司的加入，這預(yù)示著市場(chǎng)對(duì)這類產(chǎn)品確實(shí)存在需求。一切只是時(shí)間問(wèn)題，在不久的將來(lái)，這些公司都會(huì)提供各種虛擬化安全產(chǎn)品，”Gartner研究公司的MacDonald表示。

這聽(tīng)起來(lái)似乎很合乎邏輯：通過(guò)部署入侵防御系統(tǒng)或者防病毒軟件，我們應(yīng)該能夠像保護(hù)物理服務(wù)器一樣保護(hù)管理程序?qū)印?/P>

但是MacDonald不同意這個(gè)觀點(diǎn)，“我不相信你需要在管理程序中運(yùn)行入侵防御系統(tǒng)或者防病毒軟件的副本，這將會(huì)破壞管理層被弄薄且被硬化的整個(gè)目的。相反的，良好的配置、漏洞和補(bǔ)丁管理政策就足以確保管理程序?qū)拥陌踩恍枰尤肴肭址烙到y(tǒng)或防病毒軟件，”MacDonald表示。

Forrester研究所的Kindervag表示，“他們表示，在現(xiàn)代網(wǎng)絡(luò)中，有40%的問(wèn)題是與配置或者其他類型的人為錯(cuò)誤而導(dǎo)致的，這使我相信，從這一點(diǎn)來(lái)看，如何進(jìn)行安全管理比管理程序安全更加重要?！?/P>

“現(xiàn)在供應(yīng)商們真正談?wù)摰氖侨绾伪Ｗo(hù)虛擬機(jī)以及虛擬機(jī)間的通信流量，就像保護(hù)物理環(huán)境中的工作負(fù)載一樣，”MacDonald表示，“當(dāng)你在考慮整合位于相同物理服務(wù)器上不同信任級(jí)別的虛擬工作負(fù)載時(shí)，這顯得尤為重要，你會(huì)需要這種能見(jiàn)度、隔離以及政策執(zhí)行。”

當(dāng)在評(píng)估虛擬安全產(chǎn)品時(shí)，MacDonald建議選擇那些能夠在虛擬環(huán)境內(nèi)有效運(yùn)行，并且已經(jīng)整合到來(lái)自微軟、VMware和基于Xen虛擬化的供應(yīng)商的虛擬化框架的虛擬安全產(chǎn)品。就其本身而言，虛擬化巨頭Vmware公司是通過(guò)其Vmware API提供虛擬安全運(yùn)營(yíng)的能見(jiàn)度。

“現(xiàn)在約有7家主要安全廠商已經(jīng)成為Vmsafe的合作伙伴，他們開(kāi)發(fā)了虛擬化的網(wǎng)絡(luò)和端點(diǎn)解決方案，這些解決方案以特殊的方式結(jié)合高安全性在管理程序中運(yùn)行，”Vmware公司服務(wù)器部門的產(chǎn)品營(yíng)銷高級(jí)主管Venu Aravamudan表示。

但是這只是開(kāi)始，今年早些時(shí)候，在2010年RSA大會(huì)上，Vmware展示了其對(duì)下一代虛擬服務(wù)器安全技術(shù)的設(shè)想，并且與趨勢(shì)科技公司一起展示了在主機(jī)上運(yùn)行防病毒處理的過(guò)程，而不是像現(xiàn)在的產(chǎn)品那樣在虛擬機(jī)上處理。

“一旦這項(xiàng)技術(shù)變成顯示，我們將不需要在每個(gè)虛擬機(jī)中都有一個(gè)代理，這意味著更好的性能、更易于管理、更低的成本等，”Aravamudan表示。

這也意味著新的功能，“這種模式還將滋生這些解決方案：例如能夠檢測(cè)在文件管理程序中運(yùn)行的rootkit，發(fā)現(xiàn)虛擬機(jī)中的信用卡和其他重要信息，并能夠檢查文件的完整性，”他表示。

將安全納入規(guī)劃和設(shè)計(jì)階段

美國(guó)最大的區(qū)域投資公司之一的Morgan Keegan公司是少數(shù)幾家部署了適宜虛擬安全技術(shù)的公司之一，“我們現(xiàn)在基本上沒(méi)有什么安全問(wèn)題，從我們?cè)谔摂M環(huán)境部署的安全技術(shù)來(lái)看，”系統(tǒng)工程師Luke McClain表示。

這是應(yīng)該是因?yàn)镸organ Keegan公司從虛擬化安全項(xiàng)目的第一天起就考慮了安全問(wèn)題，該公司已經(jīng)將75%的服務(wù)器基礎(chǔ)設(shè)施進(jìn)行虛擬化，大約有515臺(tái)虛擬機(jī)運(yùn)行3個(gè)數(shù)據(jù)中心的52臺(tái)Vmware ESX主機(jī)上。

此前，該公司某個(gè)特定的IT運(yùn)營(yíng)目破壞了虛擬環(huán)境中的傳統(tǒng)防火墻，“我們以為我們能夠使用物理環(huán)境中的安全技術(shù)來(lái)保護(hù)虛擬環(huán)境，并且能夠妥善管理，”Morgan Keegan公司網(wǎng)絡(luò)系統(tǒng)工程總監(jiān)Parker Mabry表示。

這需要與信息安全部門的密切規(guī)劃，將虛擬防火墻與物理防火墻進(jìn)行對(duì)比，“他們將所有功能進(jìn)行了對(duì)比，例如日志記錄、取證以及鎖定機(jī)器的深度和粒度等，”Mabry表示。

“通常企業(yè)信息安全部門的反應(yīng)都是‘不行！’，預(yù)算太緊張，”他表示，“所以我們需要讓信息安全部門看到在虛擬環(huán)境使用虛擬防火墻帶來(lái)的絕對(duì)利益?！睘榱擞不摂MDMZ（隔離區(qū)），Morgan Keegan使用的是Reflex公司的vTrust安全產(chǎn)品。

從操作角度來(lái)看，該公司通過(guò)嚴(yán)格的身份驗(yàn)證來(lái)確保虛擬機(jī)的安全。通過(guò)使用Vmware公司的vCenter虛擬化管理工具以及管理界面，“我們非常清楚哪些人有權(quán)利訪問(wèn)哪些虛擬機(jī)，并密切跟蹤隔離區(qū)環(huán)境的情況?！?/P>

Vmware公司鼓勵(lì)其合作伙伴和現(xiàn)場(chǎng)服務(wù)機(jī)構(gòu)以確保所有企業(yè)將安全納入規(guī)劃和設(shè)計(jì)階段，就像Morgan Keegan公司一樣。

安全第一的做法對(duì)于剛開(kāi)始進(jìn)行虛擬化或者僅在某些情況使用虛擬化技術(shù)的企業(yè)來(lái)說(shuō)并不常用，不過(guò)較大型的企業(yè)必須做到這一點(diǎn)，才能夠確保長(zhǎng)久的安全。

“尤其是對(duì)于那些有大量工作負(fù)載部署在虛擬服務(wù)器上的企業(yè)，必須在最佳做法和安全增強(qiáng)指導(dǎo)中增加安全原則。他補(bǔ)充說(shuō)?！?/P>

Vmware公司認(rèn)為，虛擬化為企業(yè)節(jié)省了大量的成本并提高了經(jīng)濟(jì)效益，在安全方面，虛擬化也必然要耗費(fèi)更多?！斑@肯定是我們的目標(biāo)之一，我們已經(jīng)開(kāi)始證明這一點(diǎn)，即基于虛擬環(huán)境的安全將比現(xiàn)在部署的物理安全更好?！?/P>

Gartner研究所的MacDonald表示贊同，“我們可以清楚地看到，虛擬化本身并不是不安全的，但是現(xiàn)在虛擬化沒(méi)有得到安全地部署。不過(guò)這個(gè)問(wèn)題在未來(lái)三到四年內(nèi)將會(huì)得到改善，隨著IT工作人員、供應(yīng)商、工具和技術(shù)的不斷成熟，”他表示，“人們將會(huì)開(kāi)始安全部署虛擬化，甚至比他們?cè)谖锢憝h(huán)境中部署的虛擬化更安全?！?/P>

【編輯推薦】

1. 服務(wù)器虛擬化如何平衡網(wǎng)絡(luò)安全上的利弊
2. Interop：虛擬服務(wù)器蔓延帶來(lái)安全隱患