虛擬化和云計(jì)算都是時(shí)下最熱門的話題。我們可以使用客戶端和服務(wù)器虛擬化技術(shù)來減小數(shù)據(jù)中心和客戶端規(guī)模，也可以整合客戶端和服務(wù)器來降低能耗需求，還可以從多個(gè)物理機(jī)器將服務(wù)器移至虛擬服務(wù)器上以解決機(jī)架空間問題。虛擬化是成功的，因?yàn)樘摂M化幫助我們解決了很多問題。

然而，還有一個(gè)方面是虛擬化沒有解決的，那就是安全問題。虛擬化技術(shù)本身并不是安全技術(shù)。事實(shí)上，虛擬化的安全問題能夠反映出物理環(huán)境的安全問題。安全問題在虛擬化環(huán)境中變得越來越重要，因?yàn)榘踩珕栴}將對(duì)虛擬服務(wù)器造成很嚴(yán)重影響。

正因如此，我們需要認(rèn)真考慮虛擬化環(huán)境核心安全概念以及相關(guān)部署問題。在所有網(wǎng)絡(luò)(尤其是虛擬客戶端和服務(wù)器網(wǎng)絡(luò))中都適用的一個(gè)重要概念就是：安全分區(qū)。安全區(qū)集合了承擔(dān)著共同安全風(fēng)險(xiǎn)或者安全威脅的資源，有幾種方法可以歸納安全區(qū)的特點(diǎn)：

·相同安全區(qū)的所有成員都承擔(dān)著共同的安全風(fēng)險(xiǎn)

·相同安全區(qū)的所有成員對(duì)于企業(yè)有著相似的價(jià)值，高價(jià)值資產(chǎn)不可能與低價(jià)值資產(chǎn)位于同一安全區(qū)

·面向互聯(lián)網(wǎng)的主機(jī)通常與面向非互聯(lián)網(wǎng)的主機(jī)位于不同安全區(qū)

·一個(gè)安全區(qū)受到破壞并不會(huì)影響其他安全區(qū)，受破壞的安全區(qū)應(yīng)該是隔離的，不會(huì)對(duì)其他區(qū)造成任何影響

·安全區(qū)必須通過物理或者邏輯方式進(jìn)行分割，必須使用訪問控制設(shè)備或者軟件來控制用戶對(duì)不同安全區(qū)的訪問權(quán)?？梢允褂梅阑饓韯?chuàng)建物理分割，或者使用先進(jìn)軟件方式(如Ipsec)來創(chuàng)建虛擬網(wǎng)絡(luò)分割。

在虛擬化環(huán)境和物理環(huán)境中都應(yīng)該進(jìn)行安全分區(qū)和安全分割，例如可以將安全區(qū)按照以下三種簡(jiǎn)單分區(qū)進(jìn)行分割：

·互聯(lián)網(wǎng)邊緣安全區(qū)

·客戶端系統(tǒng)安全區(qū)

·網(wǎng)絡(luò)服務(wù)安全區(qū)

下圖顯示的是一個(gè)簡(jiǎn)單的服務(wù)器整合，主要側(cè)重于虛擬化項(xiàng)目。這個(gè)結(jié)構(gòu)中有一個(gè)虛擬服務(wù)器，該虛擬服務(wù)器控制著防火墻、域控制器、郵件服務(wù)器以及文件服務(wù)器。這些虛擬機(jī)都連接到相同的物理網(wǎng)絡(luò)中(就像客戶端系統(tǒng)一樣)。

這其實(shí)是一個(gè)很糟糕的安全模式，原因如下： 

·面向互聯(lián)網(wǎng)的虛擬機(jī)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于同一個(gè)虛擬服務(wù)器上，互聯(lián)網(wǎng)防火墻虛擬機(jī)出現(xiàn)問題時(shí)，將會(huì)對(duì)網(wǎng)絡(luò)服務(wù)機(jī)器造成負(fù)面影響，而網(wǎng)絡(luò)服務(wù)器屬于不同安全區(qū)。

·客戶端系統(tǒng)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于相同的物理網(wǎng)絡(luò)，客戶端系統(tǒng)出現(xiàn)問題時(shí)，將會(huì)對(duì)網(wǎng)絡(luò)服務(wù)虛擬機(jī)造成不良影響?？蛻舳讼到y(tǒng)應(yīng)該與網(wǎng)絡(luò)服務(wù)虛擬機(jī)進(jìn)行分割，放置在不同的安全區(qū)。

這是一個(gè)簡(jiǎn)單服務(wù)器整合項(xiàng)目的常見設(shè)計(jì)，從安全觀點(diǎn)來看，這是個(gè)很糟糕的設(shè)計(jì)。讓我們看看可以怎樣改善這種狀況：

下圖展示的是比圖1更好的安全配置，在這個(gè)設(shè)計(jì)中，添加了第二臺(tái)虛擬服務(wù)器。第一臺(tái)虛擬服務(wù)器只控制邊緣安全設(shè)備，這能有效分割面向互聯(lián)網(wǎng)的防火墻與面向非互聯(lián)網(wǎng)的主機(jī)，從而成功地將防火墻安全區(qū)從網(wǎng)絡(luò)服務(wù)安全區(qū)中分割出來。不管虛擬防火墻還是在虛擬服務(wù)器上運(yùn)行的防火墻受到破壞，位于第二臺(tái)虛擬服務(wù)器上的虛擬機(jī)器都不會(huì)受到太大負(fù)面影響。

第二臺(tái)虛擬機(jī)僅控制著屬于網(wǎng)絡(luò)服務(wù)安全區(qū)的虛擬機(jī)，不過，客戶端系統(tǒng)仍然與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于相同物理網(wǎng)絡(luò)中。這不是一個(gè)最優(yōu)配置方式，因?yàn)槿绻蛻舳讼到y(tǒng)安全區(qū)發(fā)生故障，這些安全區(qū)之間沒有訪問控制或者安全設(shè)備可以限制故障造成的潛在影響。

雖然這種設(shè)計(jì)優(yōu)于第一種設(shè)計(jì)，不過還是有很多地方可以進(jìn)行改善的，以創(chuàng)造更安全的配置。

下圖顯示的是改進(jìn)設(shè)計(jì)，在這個(gè)結(jié)構(gòu)中，所有的安全區(qū)都被分割開來，位于網(wǎng)絡(luò)邊緣的虛擬服務(wù)器只包含防火墻陣列。請(qǐng)注意，要想創(chuàng)建這樣一個(gè)堅(jiān)固的涉及，你將需要使用“軟件”防火墻。由于虛擬化在眾多網(wǎng)絡(luò)中處于前線位置，在邊緣虛擬服務(wù)器設(shè)置邊緣防火墻將只是時(shí)間問題?，F(xiàn)在就可以使用很多廠商提供的類似虛擬產(chǎn)品，如Check Point防火墻或者微軟ISA或者TMG防火墻等。另外還有很多基于Linux的虛擬防火墻。

這個(gè)設(shè)計(jì)中，也有第二臺(tái)虛擬服務(wù)器，但是請(qǐng)注意，網(wǎng)絡(luò)服務(wù)虛擬服務(wù)器與客戶端系統(tǒng)網(wǎng)絡(luò)被控制防火墻的邊緣虛擬服務(wù)器物理分割了。這種情況下，邊緣系統(tǒng)可以有多種虛擬防火墻，從而連接到網(wǎng)絡(luò)服務(wù)物理網(wǎng)絡(luò)和客戶端系統(tǒng)物理網(wǎng)絡(luò)?；蛘呖梢栽谶吘壧摂M服務(wù)器創(chuàng)建更加復(fù)雜的防火墻環(huán)境，分割連接客戶端網(wǎng)絡(luò)系統(tǒng)到網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)的防火墻。

這里的關(guān)鍵問題是，在屬于不同安全區(qū)的系統(tǒng)間有某種類型的物理或者邏輯分割(或者兩者分割形式都有)。互聯(lián)網(wǎng)與所有內(nèi)部網(wǎng)絡(luò)分割了，網(wǎng)絡(luò)服務(wù)虛擬機(jī)與客戶端系統(tǒng)是獨(dú)立存在的，另外，客戶端系統(tǒng)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)也沒有連接。#p#

在這種結(jié)構(gòu)中，屬于不同安全區(qū)的虛擬機(jī)被放置在不同的物理虛擬服務(wù)器上，非虛擬化資產(chǎn)都使用網(wǎng)絡(luò)阻塞點(diǎn)進(jìn)行了物理或者邏輯分割，例如邊緣虛擬服務(wù)器的虛擬防火墻。

隨著虛擬技術(shù)的不斷發(fā)展，你可能發(fā)現(xiàn)客戶端方面的虛擬化正在越來越流行?？蛻舳颂摂M化的途徑之一就是創(chuàng)建一個(gè)“虛擬桌面基礎(chǔ)設(shè)施”(VDI)，有很多方法可以實(shí)現(xiàn)這一點(diǎn)，其中有個(gè)方法就是在虛擬服務(wù)器上托管多個(gè)不同的虛擬客戶端系統(tǒng)，然后用戶就可以連接瘦客戶端到這些專用客戶端虛擬機(jī)。這種方法的優(yōu)勢(shì)在于“展現(xiàn)虛擬化技術(shù)”，這是一種終端服務(wù)客戶端經(jīng)驗(yàn)，用戶實(shí)際連接到虛擬客戶端的整個(gè)操作系統(tǒng)中，而不是通常所看到的淡化客戶端終端服務(wù)。

在下圖中可以看到，我們添加了第三臺(tái)虛擬服務(wù)器負(fù)責(zé)托管VDI。安裝在這臺(tái)虛擬服務(wù)器的很多客戶端系統(tǒng)和擁有瘦客戶端系統(tǒng)的用戶可以放置在任何地方，因?yàn)橛捎诓僮飨到y(tǒng)設(shè)在虛擬服務(wù)器(而不是在瘦客戶端上)上瘦客戶端幾乎沒有任何攻擊面。在這個(gè)結(jié)構(gòu)中，想象客戶端虛擬機(jī)上的操作系統(tǒng)被“分流”至瘦客戶端上。

為優(yōu)化這種基礎(chǔ)設(shè)施的安全性，我們?nèi)匀恍枰堪踩謪^(qū)。為幫助確保對(duì)確定安全區(qū)的適當(dāng)分割，你將需要部署第三臺(tái)虛擬機(jī)來負(fù)責(zé)VDI并將來自其他安全區(qū)的虛擬服務(wù)器分離，正如下圖所示。同樣的，屬于不同安全區(qū)的資源不能存放在相同虛擬服務(wù)器上，而托管屬于不同安全區(qū)的虛擬機(jī)的虛擬服務(wù)器需要相互進(jìn)行物理或者邏輯隔離。

結(jié)語

本文中我們審查了評(píng)估虛擬環(huán)境安全性的重要考慮問題：網(wǎng)絡(luò)安全分區(qū)。在很多虛擬化項(xiàng)目中，管理員將更注重虛擬化架構(gòu)的設(shè)計(jì)，而忘記虛擬化本身并不是安全技術(shù)，也就是說部署在物理網(wǎng)絡(luò)的安全架構(gòu)同樣需要在虛擬網(wǎng)絡(luò)部署。在本文中我們得出的結(jié)論是，要想解決虛擬化環(huán)境安全問題，首先需要鑒別網(wǎng)絡(luò)中不同的安全區(qū)，然后重新定位位于相同虛擬服務(wù)器的相同安全區(qū)上的虛擬極其。此外，為避免屬于相同虛擬服務(wù)器(或者虛擬群集)的不同安全區(qū)的虛擬機(jī)混淆，我們還指出在不同安全區(qū)間執(zhí)行訪問控制的網(wǎng)絡(luò)安全設(shè)備需要防止在適當(dāng)?shù)奈恢?，這樣就不會(huì)互相造成影響。展望未來，我們需要認(rèn)真考慮VDI和其他客戶端虛擬化技術(shù)以及如何隔離屬于高安全區(qū)的虛擬客戶端資源等問題。

【編輯推薦】

1. 利用虛擬化技術(shù)，和信創(chuàng)天打造全新終端管理模式
2. 虛擬終端管理系統(tǒng) 不只是桌面虛擬化
3. 趨勢(shì)科技Deep Security為企業(yè)虛擬化平臺(tái)配備“宙斯之盾”
4. Linux系統(tǒng)安全之系統(tǒng)優(yōu)化（1）
5. Linux系統(tǒng)安全之系統(tǒng)優(yōu)化（2）