[[190290]]

虛擬化以很高的效率改變了我們管理IT的方式。但虛擬化不只帶來了眾多優(yōu)勢，同樣存在獨(dú)一無二的安全風(fēng)險(xiǎn)。簡單說，和物理服務(wù)器相比，保護(hù)虛擬資產(chǎn)存在更多的困難，需要專門的工具以及培訓(xùn)才能管好。

整合使得虛擬資產(chǎn)成為了特別吸引黑客和網(wǎng)絡(luò)安全攻擊的目標(biāo)。與物理服務(wù)器相比，虛擬化同樣面臨著更大的故障、服務(wù)中斷的風(fēng)險(xiǎn)。然而，采用適當(dāng)?shù)募夹g(shù)、工具以及方法，可以避免虛擬環(huán)境受到故障、惡意活動(dòng)的影響。

本文介紹常見的虛擬化風(fēng)險(xiǎn)以及如何處理虛擬安全管理問題。

注意數(shù)據(jù)盜竊危險(xiǎn)

服務(wù)器虛擬化主要的優(yōu)勢之一是與物理服務(wù)器相比，虛擬環(huán)境的攻擊平面更小。也就是說虛擬化最大的問題之一是不需要授權(quán)同意就可以快速構(gòu)建并部署虛擬實(shí)例。盡管單臺惡意服務(wù)器不太可能搞壞整個(gè)基礎(chǔ)設(shè)施，但可能會給基礎(chǔ)設(shè)施的穩(wěn)定性帶來嚴(yán)重的風(fēng)險(xiǎn)。避免這類風(fēng)險(xiǎn)的最佳方式是準(zhǔn)確地了解環(huán)境現(xiàn)狀，但往往是知易行難。

虛擬環(huán)境更容易受數(shù)據(jù)盜竊的影響因?yàn)楦`賊很容易就能夠在運(yùn)行系統(tǒng)上克隆數(shù)據(jù)并不會影響原服務(wù)器。同樣存在數(shù)據(jù)被破壞的問題。由于虛擬機(jī)是文件集合，在拷貝數(shù)據(jù)時(shí)同樣很容易被檢測到。正因?yàn)槿绱?，為?shù)據(jù)中心評估、選擇虛擬安全管理系統(tǒng)時(shí)一定要將可用性與冗余性牢記于心。

不要忽略常見的安全問題

管理員往往僅依靠備份、防火墻、密碼以及安全工具保護(hù)數(shù)據(jù)中心，但這種方式解決不了所有問題。上述措施聚焦于虛擬終端卻忽略了虛擬軟件與硬件之間復(fù)雜的關(guān)系。系統(tǒng)中斷與故障難以避免而且時(shí)常會發(fā)生。因此，主要的目標(biāo)應(yīng)該不是完全避免故障，而是緩解由于系統(tǒng)中斷帶來的破壞。

起點(diǎn)是進(jìn)一步了解底層的硬件。如果硬件冗余設(shè)計(jì)很困難，在多個(gè)技術(shù)領(lǐng)域之間沒有冗余，那么數(shù)據(jù)中心就變得很脆弱了?？紤]為服務(wù)器配置雙電源以減少硬件出故障的風(fēng)險(xiǎn)并增加可用性。

即使是全冗余的基礎(chǔ)設(shè)施也有可能出故障，因此你還應(yīng)該確保有充足的故障切換配置——不只是活動(dòng)目錄與NTP服務(wù)器，還有入侵檢測系統(tǒng)，動(dòng)態(tài)更新的防火墻與準(zhǔn)確的技術(shù)文檔。六個(gè)九的可用性可能很難達(dá)到，對某些組織來說不可能實(shí)現(xiàn)，但對軟硬件進(jìn)行調(diào)整能夠大大降低系統(tǒng)中斷的影響。

關(guān)注內(nèi)部事件

談到虛擬安全管理，有時(shí)最大的風(fēng)險(xiǎn)來自內(nèi)部。員工尤其是虛擬化管理員在工作中出錯(cuò)很可能就會使虛擬環(huán)境容易遭受網(wǎng)絡(luò)攻擊。這是個(gè)復(fù)雜的問題—這個(gè)問題可以追溯到虛擬化初期。

組織過去基于運(yùn)維職責(zé)，如網(wǎng)絡(luò)、存儲或者遠(yuǎn)距通信將數(shù)據(jù)中心員工劃分成多個(gè)小組。隨著時(shí)間的推移，組織整合了這些分散的小組，創(chuàng)建了全新的角色，包括虛擬化管理員?，F(xiàn)在，越來越多的技術(shù)納入到了虛擬化管理員的涉獵范疇，這可能是個(gè)問題。如果虛擬化管理員出錯(cuò)造成的影響要比之前低級別員工大得多。

組織有很多方法避免這些潛在的問題，先從進(jìn)一步打破壁壘開始。通過允許其他專業(yè)管理員完成之前通常由虛擬化管理員完成的任務(wù)，你可以更加徹底地保護(hù)基礎(chǔ)設(shè)施。下一件事是部署合規(guī)性軟件，允許你創(chuàng)建定制策略以避免虛擬環(huán)境使用不當(dāng)。最后可能也是最重要的是一切形成文檔。確保虛擬化管理員從第一天開始詳細(xì)記錄如何運(yùn)維整個(gè)環(huán)境，這樣如果他離開公司，繼任者不會一頭霧水。

網(wǎng)絡(luò)攻擊防護(hù)

在虛擬化領(lǐng)域，針對網(wǎng)絡(luò)攻擊并沒有放之四海而皆準(zhǔn)的答案。創(chuàng)建真正有效的網(wǎng)絡(luò)安全策略的關(guān)鍵是采取多種方式保護(hù)虛擬機(jī)與虛擬化堆棧。首先從防護(hù)虛擬主機(jī)開始。這樣做的一種方式是限制物理訪問主機(jī)服務(wù)器與存儲，這樣可以避免非授權(quán)用戶危害主機(jī)上的虛擬機(jī)。作為一個(gè)附加措施，你可以在活動(dòng)目錄森林中放置主機(jī)服務(wù)器與虛擬管理服務(wù)器。這減少了哈希傳遞攻擊—設(shè)計(jì)用于竊取哈希用戶證書并欺騙認(rèn)證系統(tǒng)的網(wǎng)絡(luò)攻擊。

改進(jìn)虛擬機(jī)安全性同樣有很多種方式。例如，可以對虛擬機(jī)進(jìn)行分組。這樣一來高安全性虛擬機(jī)就不會錯(cuò)誤地與低安全性虛擬機(jī)部署在同一臺主機(jī)上了。你還可以借助網(wǎng)絡(luò)虛擬化保護(hù)虛擬機(jī)，使用前端與后端拓?fù)湟约傲髁扛綦x以確保特定的虛擬機(jī)從不會保留在網(wǎng)絡(luò)流量中。最后，一定要檢查hypervisor的安全性建議以查看你應(yīng)該采取哪些額外的措施保護(hù)虛擬機(jī)。

虛擬機(jī)管理軟件存在差異

你可以將世界上所有的安全軟件安裝在數(shù)據(jù)中心中，但如果軟件沒有實(shí)時(shí)更新，那么虛擬基礎(chǔ)設(shè)施仍舊存在風(fēng)險(xiǎn)。老掉牙的工具無法查看虛擬機(jī)、網(wǎng)絡(luò)及相關(guān)配置，這樣就會將基礎(chǔ)設(shè)施置于相當(dāng)顯著的安全盲點(diǎn)。與大型組織相比，小型組織受這類影響的可能性更大，因?yàn)樾⌒徒M織往往采用新虛擬化安全管理工具的動(dòng)作往往更慢。

如果無法升級或者替代現(xiàn)有的虛擬化安全管理系統(tǒng)，你還需要采取一些步驟以確?；A(chǔ)設(shè)施的安全性，比如確保防惡意軟件、主機(jī)防火墻以及其他現(xiàn)有的工具能夠感知虛擬化。然而，如果你正在市場上尋求全新的管理軟件，要確保選擇能夠提供資產(chǎn)跟蹤、目錄控制以及變更管理的管理系統(tǒng)。為了實(shí)現(xiàn)安全的最大化，你還應(yīng)該對虛擬機(jī)遷移工具進(jìn)行評估以確保將所有的配置詳細(xì)信息轉(zhuǎn)移到目標(biāo)服務(wù)器，這樣在遷移過程中虛擬機(jī)就不會暴露在外部網(wǎng)絡(luò)中。