虛擬化安全刻不容緩

在過去的三年里，服務(wù)器虛擬化已從炒作階段進入到主流領(lǐng)域，而桌面虛擬化是如今炙手可熱的技術(shù)潮流之一。盡管虛擬化技術(shù)迅速得到了接受，但很少有企業(yè)認真考慮部署這項技術(shù)會給安全帶來什么樣的影響。在許多情況下，虛擬化改變了安全領(lǐng)域的規(guī)則，企業(yè)需要對各自的安全戰(zhàn)略進行相應(yīng)調(diào)整。

目前有一種普遍觀點，以為安全根本不成問題；因為所有虛擬化服務(wù)器都駐留在企業(yè)網(wǎng)絡(luò)內(nèi)部的深處；因而自動得到了現(xiàn)有安全設(shè)備的保護。然而，與傳統(tǒng)計算環(huán)境里面的關(guān)系相比，虛擬平臺會導(dǎo)致IT資源之間出現(xiàn)完全不同、更加動態(tài)的關(guān)系，而這影響到網(wǎng)絡(luò)安全。如果企業(yè)已經(jīng)有了虛擬化或計劃采用虛擬化，就應(yīng)該在安全方面考慮諸多因素。

虛擬化安全的考慮部署要素

1.要考慮的第一個因素：研究調(diào)查一番，弄清楚虛擬化到底意味著什么。

由于越來越多的安全泄密事件被暴露，廠商開發(fā)出專門的安全產(chǎn)品，人們對虛擬化安全的了解日益透徹。不過，同時不斷需要滿足嚴格的監(jiān)管法規(guī)或合規(guī)準則，這就意味著虛擬化安全開始成為網(wǎng)絡(luò)管理人員優(yōu)先考慮的事項。

談?wù)撎摂M化安全時，要考慮的第一個重要因素就是定義虛擬環(huán)境到底是什么，因為這將界定對網(wǎng)絡(luò)構(gòu)成的威脅類型。虛擬環(huán)境是指直接或間接涉及虛擬主機的一切。虛擬環(huán)境的部件包括但不僅限于管理工具、備份工具、存儲系統(tǒng)、虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)。如果對虛擬環(huán)境定義不當(dāng)，就會導(dǎo)致企業(yè)忽視一個重要的安全問題，從而危及整個網(wǎng)絡(luò)。

2.要考慮的第二個因素：一開始就讓IT安全小組參與進來。

促使虛擬化項目上馬的最常見動因就是可以節(jié)省成本，這源于服務(wù)器整合。管理這種項目的通常是服務(wù)器管理員；而在許多大型企業(yè)，服務(wù)器管理員不是IT安全小組的成員；安全小組在項目的后期階段才參與進來。

這種情形會導(dǎo)致這個局面：安全系統(tǒng)經(jīng)過改造后堆砌到網(wǎng)絡(luò)上，安全方面變得異常復(fù)雜。不過復(fù)雜的解決方案和規(guī)程加大了配置出錯的可能性，結(jié)果實際上削弱了安全效果。Gartner公司近期的一份報告表明，99%以上的安全泄密事件是由配置不當(dāng)引起的。

力求簡潔是安全方面最重要的原則之一，所以企業(yè)要確保讓安全小組參與到整個實施過程中來。

3.要考慮的第三個因素：物理安全設(shè)備會讓你看不清虛擬環(huán)境。

虛擬環(huán)境是內(nèi)部網(wǎng)絡(luò)的一部分，很容易遭到安全威脅，所以對它要像對內(nèi)部網(wǎng)絡(luò)的其余部分那樣予以足夠有效的保護。防火墻等傳統(tǒng)的物理安全設(shè)備存在一大缺點，原因在于它們無法了解虛擬環(huán)境的內(nèi)部情況。雖然物理安全設(shè)備能夠看清進出虛擬環(huán)境的每個數(shù)據(jù)包，但看不清內(nèi)部流量情況。換句話說，如果某個虛擬機被感染，該虛擬機會傳染到整個虛擬網(wǎng)絡(luò)，物理安全設(shè)備卻毫無察覺。

不管你在物理環(huán)境采用什么樣的安全戰(zhàn)略，虛擬化環(huán)境也要有一套同樣的安全戰(zhàn)略。如果你在應(yīng)用程序之間以及網(wǎng)段之間采用內(nèi)部防火墻機制，并開始對應(yīng)用程序和網(wǎng)段進行虛擬化處理，或者甚至像一些主機托管公司那樣對數(shù)據(jù)中心縮減規(guī)模，那么你就需要把所有安全機制引入到新的虛擬化環(huán)境。

4.要考慮的第四個因素：留意虛擬局域網(wǎng)標記。

物理安全設(shè)備廠商們聲稱，如果你使用虛擬局域網(wǎng)標記（VLAN標記）技術(shù)，就能把虛擬網(wǎng)絡(luò)擴展到虛擬環(huán)境之外。這從技術(shù)層面來說確實如此，但往往是深入了解虛擬網(wǎng)絡(luò)的一種笨拙方法。管理不同的虛擬局域網(wǎng)是件很復(fù)雜的事，而這種復(fù)雜性會導(dǎo)致出現(xiàn)錯誤，最終導(dǎo)致系統(tǒng)不安全。

5.要考慮的第五個因素：虛擬環(huán)境需要虛擬解決方案。

領(lǐng)先一步的那些企業(yè)正在把防火墻和入侵防護系統(tǒng)（IPS）直接部署到虛擬環(huán)境中。它們在使用專門為保護虛擬網(wǎng)絡(luò)而設(shè)計的解決方案。這樣一來，它們就能直接深入了解虛擬機，并且從里面保護虛擬環(huán)境。虛擬安全設(shè)備可放置在虛擬環(huán)境內(nèi)部的任何地方；這種更強的靈活性有助于保護最最復(fù)雜的虛擬網(wǎng)絡(luò)。

6.結(jié)論

虛擬化戰(zhàn)略再被企業(yè)在實施時，需要把安全放在最重要的位置。如果企業(yè)能夠確保虛擬環(huán)境是整個網(wǎng)絡(luò)架構(gòu)的一部分，并且在所有網(wǎng)絡(luò)里面執(zhí)行始終如一的安全策略，就有望大大減少網(wǎng)絡(luò)安全威脅。只有重視上述要考慮的因素，企業(yè)才能夠受益于這項創(chuàng)新技術(shù)，同時又不會面臨不必要的風(fēng)險。

【編輯推薦】

1. 淺談企業(yè)信息安全
2. 公共云與私有云的安全區(qū)別
3. 企業(yè)CTO的煩惱：虛擬化與安全
4. 計算機網(wǎng)絡(luò)安全的威脅重要因素分析
5. 淺析如何將數(shù)據(jù)保護整合到Web2.0安全策略中