隨著企業(yè)越來越多地投資于虛擬化技術(shù)，安全專業(yè)人士都在試圖管理這些環(huán)境中的安全性。

很多公司不得不面對(duì)的現(xiàn)實(shí)是：虛擬環(huán)境內(nèi)的安全性并沒有達(dá)到傳統(tǒng)物理網(wǎng)絡(luò)和系統(tǒng)的標(biāo)準(zhǔn)。

為什么企業(yè)安全團(tuán)隊(duì)遲遲沒有部署必要的政策和流程來安全地管理虛擬化平臺(tái)呢?有時(shí)候，這是因?yàn)椴怀墒旒夹g(shù)(例如端點(diǎn)安全)不能很好地應(yīng)用在虛擬數(shù)據(jù)中心。在其他情況下，安全團(tuán)隊(duì)可能不知道“他們不知道什么”，或者在部署流程中不夠成熟。

現(xiàn)在越來越多的企業(yè)虛擬化其數(shù)據(jù)中心，在這些環(huán)境中部署基本的安全做法和技術(shù)的需求也在增加?，F(xiàn)在有很多可用技術(shù)來幫助IT安全在虛擬基礎(chǔ)設(shè)施部署控制，但安全團(tuán)隊(duì)只是部分地使用這些工具。隨著計(jì)算工作負(fù)載逐漸增多，安全團(tuán)隊(duì)?wèi)?yīng)該認(rèn)真評(píng)估虛擬化專有技術(shù)，并更深入地整合到其數(shù)據(jù)中心。

管理不當(dāng)?shù)沫h(huán)境

好消息是，虛擬化可以簡化漏洞修復(fù)和配置管理，但同時(shí)也需要嚴(yán)格的目錄管理來避免虛擬機(jī)泛濫。

在虛擬化環(huán)境中，很多虛擬機(jī)位于單個(gè)物理系統(tǒng)，即所謂的多租戶。管理程序軟件負(fù)責(zé)維護(hù)虛擬機(jī)之間的分隔和隔離。同時(shí)，開源或商業(yè)虛擬網(wǎng)絡(luò)和虛擬安全設(shè)備或插件可以輔助這一工作。

在虛擬化環(huán)境中，配置管理其實(shí)可以更容易。使用模板可以簡化新虛擬機(jī)的部署，模板維護(hù)可以幫助集中化配置管理工具和做法到一個(gè)位置。微軟、Citrix和Vmware都提供工具和其他辦法來創(chuàng)建和管理虛擬機(jī)生命周期以及配置虛擬機(jī)生命周期及配置。

雖然漏洞修復(fù)在很多企業(yè)仍然是挑戰(zhàn)，但對(duì)虛擬機(jī)測(cè)試補(bǔ)丁通常更容易，因?yàn)槟憧梢栽跍y(cè)試前對(duì)鏡像快照，并在測(cè)試完成時(shí)回滾到原來的鏡像。

然而，在很多環(huán)境的主要安全問題是缺乏虛擬機(jī)相關(guān)的完善的目錄管理。管理員和開發(fā)人員可以很容易地創(chuàng)建虛擬機(jī)，這種簡便性導(dǎo)致系統(tǒng)在配置時(shí)很少考慮到生命周期管理。有時(shí)候虛擬機(jī)可能會(huì)被暫?；蜿P(guān)閉，并保持休眠一段時(shí)間;然而，與這些機(jī)器相關(guān)的文件仍然包含敏感數(shù)據(jù)。當(dāng)虛擬機(jī)再次啟用時(shí)，它們可能已經(jīng)錯(cuò)過補(bǔ)丁修復(fù)和關(guān)鍵的配置控制。

想要正確管理虛擬環(huán)境的動(dòng)態(tài)特性，運(yùn)營團(tuán)隊(duì)需要更新和調(diào)整其變更管理流程來適應(yīng)變化的節(jié)奏，同時(shí)考慮虛擬化堆棧中所有組件的依存關(guān)系—存儲(chǔ)、網(wǎng)絡(luò)和虛擬機(jī)管理程序。#p#

角色和特權(quán)管理

在虛擬環(huán)境的職責(zé)分離也很困難。有些IT企業(yè)在開始虛擬機(jī)部署時(shí)，讓現(xiàn)有的管理員和工程師團(tuán)隊(duì)設(shè)計(jì)并部署虛擬化技術(shù)。這一團(tuán)隊(duì)通常需要管理虛擬基礎(chǔ)設(shè)施的各個(gè)組件，缺乏職責(zé)分離可能導(dǎo)致意外錯(cuò)誤或者管理不當(dāng)?shù)沫h(huán)境(更不用提當(dāng)某個(gè)虛擬化團(tuán)隊(duì)成員變成惡意內(nèi)部人員所造成的問題)。

Vmware管理員使用默認(rèn)的“管理員”角色執(zhí)行所有管理活動(dòng)并不是稀罕事。在虛擬環(huán)境中管理存儲(chǔ)和網(wǎng)絡(luò)對(duì)象的其他IT管理員通常也會(huì)承擔(dān)這一角色，這些管理員通常有著過多的操作權(quán)限。

從網(wǎng)絡(luò)安全方面來看，這種趨勢(shì)是明顯的后退。有些企業(yè)正在部署中央接入網(wǎng)關(guān)到其虛擬化管理工具，其中包括更強(qiáng)的的角色和權(quán)限管理。這樣的產(chǎn)品例子是Hytrust設(shè)備—它整合了Vmware的vCenter管理平臺(tái)。

流量問題

在虛擬數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)整合也可能導(dǎo)致影響安全的問題。由于所有虛擬機(jī)都共享硬件，虛擬機(jī)管理程序服務(wù)器或刀片服務(wù)器中的網(wǎng)絡(luò)接口數(shù)量可能會(huì)決定網(wǎng)絡(luò)流量的融合程度。

大多數(shù)虛擬環(huán)境包含正常的生產(chǎn)流量，以及管理流量來訪問和操作虛擬化組件的存儲(chǔ)流量(例如iSCSI或光纖通道)。此外，還有操作流量，例如動(dòng)態(tài)虛擬機(jī)遷移(在Vmware環(huán)境中被稱為vMotion)。

vMotion流量包含以文本形式發(fā)送的虛擬機(jī)(VM)內(nèi)存內(nèi)容，這可能包括敏感數(shù)據(jù)和身份驗(yàn)證憑證。管理流量可能包括配置詳細(xì)信息或?qū)粽哂杏玫钠渌畔ⅰ＿@些信息與生產(chǎn)流量混雜可能會(huì)增加數(shù)據(jù)在環(huán)境內(nèi)暴露機(jī)會(huì)，如果攻擊者成功入侵環(huán)境，這可能導(dǎo)致數(shù)據(jù)泄露?，F(xiàn)在很少企業(yè)會(huì)完全區(qū)別對(duì)待虛擬數(shù)據(jù)中心的所有這些數(shù)據(jù)類型。#p#

更好的技術(shù)控制

在過去幾年中，虛擬化專用技術(shù)控制領(lǐng)域發(fā)生了很多變化。幸運(yùn)的是，企業(yè)安全團(tuán)隊(duì)使用的一些工具已經(jīng)得到顯著改善，讓IT人員可以在虛擬環(huán)境實(shí)現(xiàn)與物理環(huán)境相當(dāng)?shù)陌踩健?/p>

所有主要防火墻供應(yīng)商現(xiàn)在都有虛擬化選項(xiàng)，即虛擬設(shè)備(專門的VM)。Check Point、思科、Fortinet、瞻博網(wǎng)絡(luò)和Palo Alto等多家知名廠商都提供各種型號(hào)的虛擬設(shè)備，這些設(shè)備可以整合到虛擬基礎(chǔ)設(shè)施。Vmware也有自己的vShield系列虛擬防火墻，同時(shí)提供內(nèi)部和外圍監(jiān)控以及流量控制。

然而，很多安全團(tuán)隊(duì)并沒有廣泛使用虛擬防火墻。這個(gè)功能存在，只是網(wǎng)絡(luò)和安全團(tuán)隊(duì)仍然感覺其物理防火墻能夠處理網(wǎng)絡(luò)內(nèi)的流量控制。

對(duì)這些設(shè)備的管理是另一個(gè)挑戰(zhàn)。有些虛擬化團(tuán)隊(duì)感覺他們應(yīng)該管理虛擬環(huán)境內(nèi)的所有組件，即使是那些網(wǎng)絡(luò)或安全相關(guān)的組件。

從成熟度的角度來看，網(wǎng)絡(luò)IDS/IPS可以媲美虛擬防火墻。有時(shí)候在虛擬設(shè)備也提供這個(gè)功能(采用更加統(tǒng)一威脅管理UTM的方法來實(shí)現(xiàn)網(wǎng)絡(luò)安全)。請(qǐng)參見后文的“現(xiàn)狀分析：虛擬網(wǎng)絡(luò)安全工具”。

除了獨(dú)立的平臺(tái)，入侵檢測(cè)在虛擬環(huán)境可以更容易得實(shí)現(xiàn)，因?yàn)樘摂M交換機(jī)中具有先進(jìn)的功能。很多交換機(jī)(包括來自微軟、Vmware、思科和Open vSwitch項(xiàng)目的交換機(jī))允許NetFlow輸出，以及端口鏡像選項(xiàng)復(fù)制流量到專用的入侵檢測(cè)設(shè)備或外部傳感器。

端點(diǎn)安全變化

發(fā)生顯著改變的領(lǐng)域是端點(diǎn)安全。在大多數(shù)虛擬化環(huán)境，傳統(tǒng)防病毒代理太耗費(fèi)資源，很多傳統(tǒng)終端產(chǎn)品并沒有完全優(yōu)化用于虛擬系統(tǒng)。Intel Security(MOVE)和趨勢(shì)科技(Deep Security)的新技術(shù)卸載端點(diǎn)安全處理到專用虛擬機(jī)，同時(shí)利用本地API調(diào)用和內(nèi)核集成來保持VM的處理要求在低水平。

很多企業(yè)還沒有部署這些專門的端點(diǎn)安全產(chǎn)品，不過，大部分企業(yè)已經(jīng)開始測(cè)試這些工具或者實(shí)現(xiàn)有限的部署。在為虛擬環(huán)境選擇端點(diǎn)安全產(chǎn)品時(shí)，安全團(tuán)隊(duì)需要注意的事項(xiàng)包括以下：

· 檢查供應(yīng)商產(chǎn)品與你的虛擬化技術(shù)的整合水平。目前，Vmware擁有來自新的反惡意軟件和其他端點(diǎn)安全供應(yīng)商的最多支持。微軟和Citrix與第三方供應(yīng)商只有較少的整合

· 注意新的“卸載”模式的局限性和缺點(diǎn)。雖然性能可能會(huì)提高，但為行為啟發(fā)式執(zhí)行實(shí)時(shí)掃描和內(nèi)存分析的能力可能會(huì)受到影響。此外，這些產(chǎn)品可能無法在大型環(huán)境中很好地?cái)U(kuò)展。

· 要求供應(yīng)商提供客戶參考，以及在你的端點(diǎn)類型和虛擬化技術(shù)內(nèi)操作相關(guān)的性能統(tǒng)計(jì)數(shù)據(jù)和指標(biāo)。#p#

虛擬機(jī)管理程序日志收集

目前，很多企業(yè)的虛擬環(huán)境內(nèi)的日志記錄和監(jiān)測(cè)非常不成熟。

最大的問題是從虛擬機(jī)管理平臺(tái)進(jìn)行日志收集，很多企業(yè)根本沒有這樣做或者做得不夠。虛擬機(jī)管理程序平臺(tái)會(huì)生成各種日志信息,告訴你誰正在使用該平臺(tái)、正在進(jìn)行什么類型的活動(dòng)、性能和行為統(tǒng)計(jì)數(shù)據(jù)等。例如，Vmware是ESXi虛擬機(jī)管理程序包含以下日志信息，安全和運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該這些日志進(jìn)行收集：

· /var/log/syslog.log – 通用系統(tǒng)日志文件

· /var/log/auth.log - 身份驗(yàn)證和安全事件

· /var/log/vmkernel.log - 其他虛擬機(jī)管理程序的信息

· /var/log/hostd.log - Master ESXi服務(wù)日志

· /var/log/vpxa.log - vCenter 管理代理日志

大多數(shù)基于Linux的虛擬機(jī)管理程序(Xen、KVM、Vmware)本身包含某種系統(tǒng)日志守護(hù)進(jìn)程，這使得日志收集和匯總更簡單。在Hyper-V環(huán)境中，應(yīng)該使用針對(duì)Windows Event Viewer的日志代理，雖然Microsoft System Center工具也可以從分布式管理程序檢索日志和事件數(shù)據(jù)。

安全團(tuán)隊(duì)?wèi)?yīng)該收集其環(huán)境中所有虛擬機(jī)管理程序的所有相關(guān)日志信息，并整合這些信息到中央日志管理和SIEM平臺(tái)進(jìn)行分析和關(guān)聯(lián)。

最后，在大多數(shù)企業(yè)，仍然需要解決物理和虛擬環(huán)境內(nèi)部署的安全技術(shù)之間的差距。但目前很多IT和安全團(tuán)隊(duì)遲遲沒有部署必要的政策和流程來更好地管理虛擬化平臺(tái)和虛擬機(jī)。

隨著企業(yè)對(duì)虛擬數(shù)據(jù)中心的投資增加，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該認(rèn)真評(píng)估虛擬化專有安全工具，而首席信息安全官應(yīng)該部署和改進(jìn)虛擬化管理及操作相關(guān)的政策和流程?，F(xiàn)在虛擬環(huán)境內(nèi)的安全性并沒有達(dá)到物理系統(tǒng)和網(wǎng)絡(luò)的水平，但隨著虛擬技術(shù)的發(fā)展以及政策到位，這個(gè)問題可以得到解決。

現(xiàn)狀分析：虛擬網(wǎng)絡(luò)安全工具

在評(píng)估虛擬設(shè)備時(shí)，企業(yè)團(tuán)隊(duì)?wèi)?yīng)該考慮以下方法來提高虛擬網(wǎng)絡(luò)安全性：

確定你是否需要虛擬防火墻來對(duì)發(fā)送到、發(fā)送自虛擬化或云計(jì)算基礎(chǔ)設(shè)施及其內(nèi)部的流量進(jìn)行控制。在某些情況下，因?yàn)楹弦?guī)目的，或者為了實(shí)現(xiàn)比現(xiàn)有物理防火墻及架構(gòu)可提供的流量控制更細(xì)粒度的控制，企業(yè)可能需要虛擬防火墻。

確保你的虛擬IDS/IPS或防火墻供應(yīng)商支持你主要的虛擬技術(shù)。目前，大多數(shù)供應(yīng)商支持VMWare，而Xen和Hyper-V平臺(tái)的支持則很有限。

考慮虛擬設(shè)備需要多少資源—它們需要內(nèi)存、磁盤空間和CPU。

考慮防火墻和IDS/IPS管理相關(guān)的管理問題。在大多數(shù)情況下，可以讓當(dāng)前管理防火墻和IDS/IPS的團(tuán)隊(duì)管理虛擬模式。