為主機(jī)服務(wù)器上不同類型的虛擬機(jī)創(chuàng)建物理安全區(qū)，已無法保證服務(wù)器虛擬化安全了。因此，網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商推出了虛擬安全產(chǎn)品，它們可以在虛擬宿主的虛擬機(jī)上直接應(yīng)用安全控制和策略。

虛擬化方案出現(xiàn)之初服務(wù)器虛擬化安全問題便一直困擾著網(wǎng)絡(luò)安全專業(yè)人員。問題的部分原因在于無法監(jiān)測(cè)虛擬機(jī)(VM)的行為，并且無法將安全策略應(yīng)用到虛擬機(jī)上，因?yàn)檫B接這些VM的網(wǎng)絡(luò)端口已經(jīng)抽象運(yùn)行到物理主機(jī)上的超級(jí)管理程序中了。過去，網(wǎng)絡(luò)專業(yè)人員一直通過對(duì)物理主機(jī)服務(wù)器劃分安全區(qū)來解決這個(gè)問題。只要虛擬管理人員之間進(jìn)行合作，并保持虛擬機(jī)器位于正確的物理VLAN上，這個(gè)問題還是可以解決的。

但是服務(wù)器虛擬方案正在迅速發(fā)展中。支持VM遷移的技術(shù)，如VMware vMotion，只需輕點(diǎn)一下鼠標(biāo)便可以使網(wǎng)絡(luò)安全控制完全失效。目前，VM的啟動(dòng)和關(guān)閉非常頻繁，人為操作失誤逐漸成為一個(gè)較大的風(fēng)險(xiǎn)。管理員可以很輕易地在一臺(tái)信用卡處理交易專用物理主機(jī)上啟動(dòng)一個(gè)測(cè)試及開發(fā)VM，同時(shí)網(wǎng)絡(luò)安全團(tuán)隊(duì)會(huì)馬上面臨審計(jì)的噩夢(mèng)。

一家中型的East Coast 銀行的IT副總裁Dave Williams 表示，“你可以相對(duì)容易地啟動(dòng)虛擬機(jī)器，這取決于你操作的熟練程度，但問題是，你會(huì)發(fā)現(xiàn)有些管理員還只是剛開始接手工作。他們可能會(huì)將開發(fā)系統(tǒng)和生產(chǎn)系統(tǒng)部署在同一臺(tái)ESX主機(jī)上”。

事實(shí)上，由Juniper Networks及其虛擬安全伙伴Altor Networks共同在VMworld 2010上所進(jìn)行的一個(gè)IT專業(yè)人員調(diào)查顯示，70%的被訪者都在同一主機(jī)上部署不同的VM負(fù)載，以便提高他們的風(fēng)險(xiǎn)預(yù)測(cè)水平。其中55%的被訪者表示在他們的網(wǎng)絡(luò)上，每天都會(huì)發(fā)生多次的VM增加和刪除操作，因此增加了人為失誤的風(fēng)險(xiǎn)。

Altor Networks市場(chǎng)副總裁Johnnie Konstantas 表示，“他們?cè)诿嫦蚧ヂ?lián)網(wǎng)的服務(wù)器上安裝了數(shù)據(jù)庫，并為客戶資源應(yīng)用安裝了Web服務(wù)器，而為合作伙伴提供外部網(wǎng)絡(luò)訪問。這可能使服務(wù)器處于更高風(fēng)險(xiǎn)狀態(tài)，特別是那些連接到互聯(lián)網(wǎng)上的服務(wù)器，它們還可能將一些風(fēng)險(xiǎn)帶到到一些沒有連接到互聯(lián)網(wǎng)且擁有高價(jià)值的設(shè)施上。從安全和法規(guī)的角度考慮，它們是必須被隔離的。”

Williams說道，“在談到DMZ這個(gè)問題時(shí)，我更傾向于盡可能地使用物理邊界。如果你用一個(gè)物理交換機(jī)將服務(wù)器連接到DMZ上，那么我不愿意將主機(jī)虛擬化到不同VLAN上。工程師們可能會(huì)說，‘我們可以將整個(gè)VLAN虛擬化，這樣VM就不會(huì)連接到一起了’，但是，管理員可能很快就把它搞壞。”

服務(wù)器虛擬化安全性產(chǎn)品正在不斷完善

供應(yīng)商正在快速地解決這些問題。在過去的兩年中，Juniper Networks已經(jīng)在其防火墻業(yè)務(wù)方面與Altor Networks發(fā)展成為緊密的伙伴關(guān)系。在VMworld大會(huì)上，Check Point發(fā)布了Security Gateway Virtual Edition，Cisco Systems推出了VMsafe，VMware的應(yīng)用程序接口(API)允許安全供應(yīng)商將Cisco System產(chǎn)品與vSphere整合為一體。

這些供應(yīng)商都致力于將自己的產(chǎn)品直接應(yīng)用到管理程序技術(shù)上來實(shí)現(xiàn)服務(wù)器虛擬化安全性，從而與支持靜態(tài)服務(wù)器的物理安全性控制一樣精確。

Konstantas 表示，“我們?cè)诓僮飨到y(tǒng)底層和內(nèi)部安裝了管理程序，這樣我們就不僅能夠?qū)M(jìn)出VM的數(shù)據(jù)包即時(shí)應(yīng)用安全性，而且我們還可以全面地監(jiān)測(cè)VM的運(yùn)行狀況。我們可以觀察到VM上的網(wǎng)絡(luò)連接，它所分配的端口以及網(wǎng)絡(luò)的配置。我們還可以看到VM內(nèi)部安裝的應(yīng)用及服務(wù)。” 同時(shí)，他還表示，“我們可以將安全策略應(yīng)用到這些VM上，即使它只是一個(gè)將所有的虛擬化服務(wù)器都作為軟件元素運(yùn)行的物理主機(jī)，我們可以控制它們，就如同Juniper的SRX在物理環(huán)境中進(jìn)行的操作一樣。”

整合物理網(wǎng)絡(luò)安全和服務(wù)器虛擬化安全是至關(guān)重要的

一個(gè)產(chǎn)品能夠運(yùn)行真正的虛擬化安全只是第一步。企業(yè)必須能夠?qū)⑽锢砗吞摂M安全整合為統(tǒng)一的管理點(diǎn)，這樣安全操作才可以變得更簡(jiǎn)單和更自動(dòng)化。

Enterprise Strategy Group資深分析師Jon Oltsik表示，“你必須將你的虛擬安全工具與物理工具管理整合到一起，這樣你就可以同時(shí)管理物理設(shè)備和虛擬設(shè)備。你擁有通用的策略管理、通用的策略執(zhí)行、通用的報(bào)告和通用的審計(jì)。如果我有物理的Juniper SRX設(shè)備和虛擬防火墻，那么我就希望創(chuàng)建一個(gè)將它們?nèi)堪趦?nèi)的安全策略。”

【編輯推薦】

1. Red Hat劍指云計(jì)算 矛頭直逼VMware
2. 虛擬化：IT服務(wù)快速走向云計(jì)算的驅(qū)動(dòng)力
3. 從虛擬化角度看云計(jì)算架構(gòu)和邏輯
4. VMware：云計(jì)算不需要服務(wù)器虛擬化
5. 拆穿服務(wù)器虛擬化十大謊言
6. 撕去面紗 揭示服務(wù)器虛擬化和云計(jì)算的陰暗