——進(jìn)行服務(wù)器虛擬化就意味著要重新考慮你的安全部署

惡意管理程序，顛覆性的虛擬機(jī)，實(shí)時(shí)遷移模仿……歡迎來到精彩的服務(wù)器虛擬化世界，在這里你將面臨前所未有的全新威脅，傳統(tǒng)的安全工具比如防火墻和入侵預(yù)防系統(tǒng)對此將無能為力。

不幸的是，在許多企業(yè)里，安全戰(zhàn)略并沒有跟上x86服務(wù)器虛擬化的步伐。“許多擁有虛擬化環(huán)境的公司沒有仔細(xì)考慮過他們現(xiàn)在所做的一切將會(huì)面臨的安全后果，”Forrester的一位分析師John Kindervag這樣說。

Gartner的Neil MacDonald對此表示贊同。他說，“有關(guān)虛擬安全問題的普遍意識(shí)水平并不是太高。”

IT專家們往往認(rèn)為，由于物理和虛擬服務(wù)器在同一個(gè)硬件上運(yùn)行相同的Linux和Windows操作系統(tǒng)，那么只要保證前者的安全，后者也就足夠安全。“他們會(huì)認(rèn)為什么都沒有改變——這是一個(gè)非常危險(xiǎn)的錯(cuò)誤，”MacDonald解釋說。

“當(dāng)進(jìn)行虛擬化的時(shí)候，你引進(jìn)了一個(gè)新的軟件層，所有在這個(gè)軟件層上運(yùn)行的Windows和Linux工作負(fù)載都會(huì)依賴于它的完整性。你需要完成的的首要任務(wù)是對這個(gè)新層面進(jìn)行全面認(rèn)知，并圍繞它的配置和漏洞管理建立一個(gè)安全的體系，”MacDonald說。

其次，需要弄清楚如何應(yīng)對網(wǎng)絡(luò)盲點(diǎn)和虛擬化創(chuàng)建，他補(bǔ)充說。

“那些在物理世界中基于網(wǎng)絡(luò)的防火墻或者IPS并不能對兩臺(tái)虛擬機(jī)之間的網(wǎng)絡(luò)傳輸進(jìn)行檢測，”MacDonald解釋說，“我們需要回答的問題是，為了對虛擬網(wǎng)絡(luò)流量進(jìn)行觀察，我們是否需要虛擬服務(wù)器內(nèi)部的安全控制?不論是否需要，你都不得不承認(rèn)這個(gè)網(wǎng)絡(luò)傳輸?shù)拿c(diǎn)，在發(fā)生問題的時(shí)候，比如出現(xiàn)虛擬機(jī)入侵事件，你可能會(huì)對此毫無察覺。”

很多企業(yè)對虛擬服務(wù)器的安全并不重視，因?yàn)樗麄儾痪邆涑墒斓奶摂M化部署。當(dāng)虛擬服務(wù)器只是被用來進(jìn)行運(yùn)行非關(guān)鍵級和低優(yōu)先級的應(yīng)用程序測試或者開發(fā)，安全問題似乎并無大礙。

但是，現(xiàn)在的變化是虛擬化層面轉(zhuǎn)移到生產(chǎn)環(huán)境中并開始托管執(zhí)行關(guān)鍵任務(wù)的應(yīng)用程序。虛擬化越根深蒂固，就越需要部署安全技術(shù)，尤其是那些對虛擬架構(gòu)進(jìn)行保護(hù)的安全技術(shù)。

新的現(xiàn)實(shí)

“我們本來認(rèn)為物理安全可以做到，但是當(dāng)我們開始發(fā)展虛擬化部署的時(shí)候，我們感覺到必須采取主動(dòng)的措施來保證客戶信息的安全，”美國康涅狄州托馬斯頓儲(chǔ)蓄所副總裁兼網(wǎng)管Patrick Quinn說。

這樣做能讓銀行在虛擬環(huán)境下建立安全的網(wǎng)段，就像在物理架構(gòu)中所做的一樣。它使用Catbird Networks的vSecurity TrustZones虛擬安全技術(shù)，允許不同信用水平的虛擬機(jī)共享同一臺(tái)主機(jī)。

TrustZones讓Quinn能夠?qū)μ摂M機(jī)之間的信息流量進(jìn)行控制。Quinn說他為每一個(gè)支行和幾個(gè)主要辦公室都建立了TrustZones。

同樣，位于加拿大不列顛省的基洛納衛(wèi)生局希望能夠?qū)⑻摂M服務(wù)器層納入自己的整個(gè)安全架構(gòu)，信息安全專家Kris Jmaeff稱。

“當(dāng)然我們的目標(biāo)之一使虛擬化層面具有可見性，”Jmaeff說，“我們在使用虛擬傳感器來檢測虛擬服務(wù)器世界或者集群中的信息流量這一點(diǎn)上已經(jīng)有所突破。”

為此，衛(wèi)生局正在測試惠普TippingPoint的安全虛擬框架，它可以讓安全小組對虛擬服務(wù)器、位于VMware平臺(tái)上的虛擬交換機(jī)以及虛擬機(jī)的變化進(jìn)行監(jiān)控，從而確保安全控制不被篡改和損壞。

此外，恢復(fù)TippingPoint 虛擬化IPS與來自Reflex Systems的vTrust虛擬安全技術(shù)進(jìn)行了整合。與Catbird的TrustZones相似，Reflex技術(shù)可以讓用戶們創(chuàng)建可信的網(wǎng)段并執(zhí)行相應(yīng)的安全策略，能夠像監(jiān)控器一樣過濾和控制虛擬機(jī)之間的信息流動(dòng)。

“我們此次測試的目標(biāo)是為了增加該領(lǐng)域的知識(shí)，對系統(tǒng)架構(gòu)進(jìn)行深入的了解，同時(shí)為我們在以后將要進(jìn)行的安全開發(fā)做一些準(zhǔn)備和計(jì)劃。這是一個(gè)很好的學(xué)習(xí)并且站在虛擬安全最前沿的機(jī)會(huì)。”Jmaeff說。

#p#

虛擬安全供應(yīng)商

除了Catbird和Reflex這兩家致力于虛擬服務(wù)器安全的公司以外，還有一些其他的虛擬安全創(chuàng)始者，比如Altor Networks，Apani和HyTrust等。除了惠普的TippingPoint，這些供應(yīng)商的產(chǎn)品包括以安全功能比如訪問控制和日志管理見長的CA技術(shù)；為虛擬防火墻而開發(fā)的Check Point軟件技術(shù)；有與Altor建立了戰(zhàn)略關(guān)系的Juniper Networks；還有IBM的IPS和收購了虛擬安全啟動(dòng)Third Brigade的Trend Micro。

“大公司的介入表示這類產(chǎn)品有著一定的市場需求。讓所有人都具備虛擬化的安全措施只是時(shí)間的問題而已，”MacDonald說。

使用IPS或者反病毒軟件，你將會(huì)采用與保護(hù)物理服務(wù)器一樣的方式來保護(hù)虛擬層，這似乎順理成章。

但是MacDonald并不同意這種觀點(diǎn)。“我們認(rèn)為不需要在虛擬層中運(yùn)行IPS或者反病毒軟件。相反，良好的配置以及漏洞和補(bǔ)丁管理對于虛擬層而言已經(jīng)綽綽有余了。”

Kindervag補(bǔ)充說，“有人說大約有40%的現(xiàn)代網(wǎng)絡(luò)問題與配置或者其他人為錯(cuò)誤有關(guān)。這讓我覺得就這一點(diǎn)而論，如何進(jìn)行安全化管理比虛擬層安全更為重要。”

“供應(yīng)商們現(xiàn)在正在討論的話題是像保護(hù)物理環(huán)境下的工作負(fù)載一樣保護(hù)虛擬機(jī)和它們之間信息流動(dòng)，”MacDonald補(bǔ)充說，“當(dāng)你開始將虛擬工作負(fù)載與不同的信用水品層面結(jié)合到同一個(gè)物理服務(wù)器上的時(shí)候這就顯得尤為重要。”

他還建議，在評估虛擬安全產(chǎn)品的時(shí)候，選擇那些在虛擬環(huán)境中進(jìn)行過運(yùn)行優(yōu)化和那些整合入與來自于微軟、VMware和Xen這些虛擬化廠商的虛擬化框架的產(chǎn)品。

#p#

固有安全性

美國最大的區(qū)域投資公司之一Morgan Keegan保持著一種讓自己相當(dāng)泰然的虛擬安全姿態(tài)。“任何時(shí)候我們對于安全的關(guān)注都不會(huì)勝過我們對于虛擬環(huán)境下的安全關(guān)注。”公司的一位系統(tǒng)工程師Luke MaClain說。

這是因?yàn)镸organ Keegan從2008年3月的一個(gè)虛擬化項(xiàng)目起，就開始把安全問題列入考慮范圍。該公司已經(jīng)對75%的服務(wù)器架構(gòu)進(jìn)行了虛擬化，大約包括三個(gè)數(shù)據(jù)中心的基于52臺(tái)VMware ESX主機(jī)的515臺(tái)虛擬機(jī)。

現(xiàn)在特殊的IT運(yùn)營目標(biāo)是將公司的傳統(tǒng)防火墻中的隔離區(qū)（DMZ）引入虛擬環(huán)境中去。“我們認(rèn)為通過把這些物理機(jī)引入虛擬環(huán)境同時(shí)仍舊將它們安置在隔離區(qū)中，以便對它們進(jìn)行管理，這會(huì)讓我們受益匪淺，”Morgan Keegan的網(wǎng)絡(luò)系統(tǒng)工程總監(jiān)Parker Mabry說。

信息安全小組將虛擬防火墻與它們的物理副本也就是Cisco的防火墻進(jìn)行了對比。他們逐一比較了兩者的功能特征。

“通常我們在提出進(jìn)行信息安全合作的時(shí)候得到的答復(fù)是‘不’，因此通過獲得信息安全來發(fā)現(xiàn)在虛擬環(huán)境下使用虛擬防火墻的價(jià)值對于我們而言是一個(gè)重大的勝利。”

為了強(qiáng)化隔離區(qū)，Morgan Keegan使用了Reflex的vTrust安全產(chǎn)品。

從操作角度來看，公司通過嚴(yán)格的認(rèn)證來保證虛擬機(jī)的安全，McClain補(bǔ)充說。有了VMware的vCenter虛擬化管理工具和管理界面，“我們對任何虛擬機(jī)的登陸權(quán)都了如指掌，同時(shí)我們也對那些特殊的特別是在DMZ環(huán)境中的變化進(jìn)行著密切的追蹤。”

原文名：  作者：Beth Schultz

1. 企業(yè)IT部門如何應(yīng)對虛擬化安全風(fēng)險(xiǎn)
2. 令人擔(dān)憂的虛擬化安全：控制虛擬機(jī)是關(guān)鍵
3. 技術(shù)指南：如何保護(hù)數(shù)據(jù)中心虛擬化安全
4. 調(diào)查發(fā)現(xiàn)：企業(yè)虛擬化部署安全不足
5. 絕密：實(shí)現(xiàn)虛擬化安全的新方法