當(dāng)數(shù)據(jù)中心越來(lái)越虛擬化時(shí) 保護(hù)工作該怎么做？（上）

更好的技術(shù)控制

在過(guò)去幾年中，虛擬化專(zhuān)用技術(shù)控制領(lǐng)域發(fā)生了很多變化。幸運(yùn)的是，企業(yè)安全團(tuán)隊(duì)使用的一些工具已經(jīng)得到顯著改善，讓IT人員可以在虛擬環(huán)境實(shí)現(xiàn)與物理環(huán)境相當(dāng)?shù)陌踩健?/p>

所有主要防火墻供應(yīng)商現(xiàn)在都有虛擬化選項(xiàng)，即虛擬設(shè)備(專(zhuān)門(mén)的VM)。Check Point、思科、Fortinet、瞻博網(wǎng)絡(luò)和Palo Alto等多家知名廠(chǎng)商都提供各種型號(hào)的虛擬設(shè)備，這些設(shè)備可以整合到虛擬基礎(chǔ)設(shè)施。Vmware也有自己的vShield系列虛擬防火墻，同時(shí)提供內(nèi)部和外圍監(jiān)控以及流量控制。

然而，很多安全團(tuán)隊(duì)并沒(méi)有廣泛使用虛擬防火墻。這個(gè)功能存在，只是網(wǎng)絡(luò)和安全團(tuán)隊(duì)仍然感覺(jué)其物理防火墻能夠處理網(wǎng)絡(luò)內(nèi)的流量控制。

對(duì)這些設(shè)備的管理是另一個(gè)挑戰(zhàn)。有些虛擬化團(tuán)隊(duì)感覺(jué)他們應(yīng)該管理虛擬環(huán)境內(nèi)的所有組件，即使是那些網(wǎng)絡(luò)或安全相關(guān)的組件。

從成熟度的角度來(lái)看，網(wǎng)絡(luò)IDS/IPS可以媲美虛擬防火墻。有時(shí)候在虛擬設(shè)備也提供這個(gè)功能(采用更加統(tǒng)一威脅管理UTM的方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全)。

除了獨(dú)立的平臺(tái)，入侵檢測(cè)在虛擬環(huán)境可以更容易得實(shí)現(xiàn)，因?yàn)樘摂M交換機(jī)中具有先進(jìn)的功能。很多交換機(jī)(包括來(lái)自微軟、Vmware、思科和Open vSwitch項(xiàng)目的交換機(jī))允許NetFlow輸出，以及端口鏡像選項(xiàng)復(fù)制流量到專(zhuān)用的入侵檢測(cè)設(shè)備或外部傳感器。

端點(diǎn)安全變化

發(fā)生顯著改變的領(lǐng)域是端點(diǎn)安全。在大多數(shù)虛擬化環(huán)境，傳統(tǒng)防病毒代理太耗費(fèi)資源，很多傳統(tǒng)終端產(chǎn)品并沒(méi)有完全優(yōu)化用于虛擬系統(tǒng)。Intel Security(MOVE)和趨勢(shì)科技(Deep Security)的新技術(shù)卸載端點(diǎn)安全處理到專(zhuān)用虛擬機(jī)，同時(shí)利用本地API調(diào)用和內(nèi)核集成來(lái)保持VM的處理要求在低水平。

很多企業(yè)還沒(méi)有部署這些專(zhuān)門(mén)的端點(diǎn)安全產(chǎn)品，不過(guò)，大部分企業(yè)已經(jīng)開(kāi)始測(cè)試這些工具或者實(shí)現(xiàn)有限的部署。在為虛擬環(huán)境選擇端點(diǎn)安全產(chǎn)品時(shí)，安全團(tuán)隊(duì)需要注意的事項(xiàng)包括以下：

· 檢查供應(yīng)商產(chǎn)品與你的虛擬化技術(shù)的整合水平。目前，Vmware擁有來(lái)自新的反惡意軟件和其他端點(diǎn)安全供應(yīng)商的最多支持。微軟和Citrix與第三方供應(yīng)商只有較少的整合

· 注意新的“卸載”模式的局限性和缺點(diǎn)。雖然性能可能會(huì)提高，但為行為啟發(fā)式執(zhí)行實(shí)時(shí)掃描和內(nèi)存分析的能力可能會(huì)受到影響。此外，這些產(chǎn)品可能無(wú)法在大型環(huán)境中很好地?cái)U(kuò)展。

· 要求供應(yīng)商提供客戶(hù)參考，以及在你的端點(diǎn)類(lèi)型和虛擬化技術(shù)內(nèi)操作相關(guān)的性能統(tǒng)計(jì)數(shù)據(jù)和指標(biāo)。

虛擬機(jī)管理程序日志收集

目前，很多企業(yè)的虛擬環(huán)境內(nèi)的日志記錄和監(jiān)測(cè)非常不成熟。

最大的問(wèn)題是從虛擬機(jī)管理平臺(tái)進(jìn)行日志收集，很多企業(yè)根本沒(méi)有這樣做或者做得不夠。虛擬機(jī)管理程序平臺(tái)會(huì)生成各種日志信息,告訴你誰(shuí)正在使用該平臺(tái)、正在進(jìn)行什么類(lèi)型的活動(dòng)、性能和行為統(tǒng)計(jì)數(shù)據(jù)等。例如，Vmware是ESXi虛擬機(jī)管理程序包含以下日志信息，安全和運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該這些日志進(jìn)行收集：

· /var/log/syslog.log – 通用系統(tǒng)日志文件

· /var/log/auth.log - 身份驗(yàn)證和安全事件

· /var/log/vmkernel.log - 其他虛擬機(jī)管理程序的信息

· /var/log/hostd.log - Master ESXi服務(wù)日志

· /var/log/vpxa.log - vCenter 管理代理日志

大多數(shù)基于Linux的虛擬機(jī)管理程序(Xen、KVM、Vmware)本身包含某種系統(tǒng)日志守護(hù)進(jìn)程，這使得日志收集和匯總更簡(jiǎn)單。在Hyper-V環(huán)境中，應(yīng)該使用針對(duì)Windows Event Viewer的日志代理，雖然Microsoft System Center工具也可以從分布式管理程序檢索日志和事件數(shù)據(jù)。

安全團(tuán)隊(duì)?wèi)?yīng)該收集其環(huán)境中所有虛擬機(jī)管理程序的所有相關(guān)日志信息，并整合這些信息到中央日志管理和SIEM平臺(tái)進(jìn)行分析和關(guān)聯(lián)。

最后，在大多數(shù)企業(yè)，仍然需要解決物理和虛擬環(huán)境內(nèi)部署的安全技術(shù)之間的差距。但目前很多IT和安全團(tuán)隊(duì)遲遲沒(méi)有部署必要的政策和流程來(lái)更好地管理虛擬化平臺(tái)和虛擬機(jī)。

隨著企業(yè)對(duì)虛擬數(shù)據(jù)中心的投資增加，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該認(rèn)真評(píng)估虛擬化專(zhuān)有安全工具，而首席信息安全官應(yīng)該部署和改進(jìn)虛擬化管理及操作相關(guān)的政策和流程?，F(xiàn)在虛擬環(huán)境內(nèi)的安全性并沒(méi)有達(dá)到物理系統(tǒng)和網(wǎng)絡(luò)的水平，但隨著虛擬技術(shù)的發(fā)展以及政策到位，這個(gè)問(wèn)題可以得到解決。

現(xiàn)狀分析：虛擬網(wǎng)絡(luò)安全工具

在評(píng)估虛擬設(shè)備時(shí)，企業(yè)團(tuán)隊(duì)?wèi)?yīng)該考慮以下方法來(lái)提高虛擬網(wǎng)絡(luò)安全性：

確定你是否需要虛擬防火墻來(lái)對(duì)發(fā)送到、發(fā)送自虛擬化或云計(jì)算基礎(chǔ)設(shè)施及其內(nèi)部的流量進(jìn)行控制。在某些情況下，因?yàn)楹弦?guī)目的，或者為了實(shí)現(xiàn)比現(xiàn)有物理防火墻及架構(gòu)可提供的流量控制更細(xì)粒度的控制，企業(yè)可能需要虛擬防火墻。

確保你的虛擬IDS/IPS或防火墻供應(yīng)商支持你主要的虛擬技術(shù)。目前，大多數(shù)供應(yīng)商支持VMWare，而Xen和Hyper-V平臺(tái)的支持則很有限。

考慮虛擬設(shè)備需要多少資源—它們需要內(nèi)存、磁盤(pán)空間和CPU。

考慮防火墻和IDS/IPS管理相關(guān)的管理問(wèn)題。在大多數(shù)情況下，可以讓當(dāng)前管理防火墻和IDS/IPS的團(tuán)隊(duì)管理虛擬模式。