虛擬化環境下實現安全分區
虛擬化和云計算都是時下最熱門的話題,后者需要依賴于前者。我們可以使用客戶端和服務器虛擬化技術來搭建虛擬化環境,以此減小數據中心和客戶端規模,也可以整合客戶端和服務器來降低能耗需求,還可以從多個物理機器將服務器移至虛擬化環境上以解決機架空間問題。虛擬化是成功的,因為虛擬化幫助我們解決了很多問題。
然而,還有一個方面是虛擬化沒有解決的,那就是安全問題。虛擬化技術本身并不是安全技術。事實上,虛擬化的安全問題能夠反映出物理環境的安全問題。安全問題在虛擬化環境中變得越來越重要,因為安全問題將對虛擬化環境造成很嚴重影響。
正因如此,我們需要認真考慮虛擬化環境核心安全概念以及相關部署問題。在所有網絡(尤其是虛擬客戶端和服務器網絡)中都適用的一個重要概念就是:安全分區。安全區集合了承擔著共同安全風險或者安全威脅的資源,有幾種方法可以歸納安全區的特點:
相同安全區的所有成員都承擔著共同的安全風險
相同安全區的所有成員對于企業有著相似的價值,高價值資產不可能與低價值資產位于同一安全區
面向互聯網的主機通常與面向非互聯網的主機位于不同安全區
一個安全區受到破壞并不會影響其他安全區,受破壞的安全區應該是隔離的,不會對其他區造成任何影響
安全區必須通過物理或者邏輯方式進行分割,必須使用訪問控制設備或者軟件來控制用戶對不同安全區的訪問權。可以使用防火墻來創建物理分割,或者使用先進軟件方式(如Ipsec)來創建虛擬網絡分割。
在虛擬化環境和物理環境中都應該進行安全分區和安全分割,例如可以將安全區按照以下三種簡單分區進行分割:
互聯網邊緣安全區
客戶端系統安全區
網絡服務安全區
下圖顯示的是一個簡單的服務器整合,主要側重于虛擬化項目。這個結構中有一個虛擬服務器,該虛擬服務器控制著防火墻、域控制器、郵件服務器以及文件服務器。這些虛擬機都連接到相同的物理網絡中(就像客戶端系統一樣)。
這其實是一個很糟糕的安全模式,原因如下:
面向互聯網的虛擬機與網絡服務虛擬機位于同一個虛擬服務器上,互聯網防火墻虛擬機出現問題時,將會對網絡服務機器造成負面影響,而網絡服務器屬于不同安全區。
客戶端系統與網絡服務虛擬機位于相同的物理網絡,客戶端系統出現問題時,將會對虛擬化環境造成不良影響。客戶端系統應該與網絡服務虛擬機進行分割,放置在不同的安全區。
這是一個簡單服務器整合項目的常見設計,從安全觀點來看,這是個很糟糕的設計。讓我們看看可以怎樣改善這種狀況:
下圖展示的是比圖1更好的虛擬化環境安全配置,在這個設計中,添加了第二臺虛擬服務器。***臺虛擬服務器只控制邊緣安全設備,這能有效分割面向互聯網的防火墻與面向非互聯網的主機,從而成功地將防火墻安全區從網絡服務安全區中分割出來。不管虛擬防火墻還是在虛擬服務器上運行的防火墻受到破壞,位于第二臺虛擬服務器上的虛擬機器都不會受到太大負面影響。
第二臺虛擬機僅控制著屬于網絡服務安全區的虛擬機,不過,客戶端系統仍然與網絡服務虛擬機位于相同物理網絡中。這不是一個***配置方式,因為如果客戶端系統安全區發生故障,這些安全區之間沒有訪問控制或者安全設備可以限制故障造成的潛在影響。
雖然這種虛擬化環境的安全設計優于***種設計,不過還是有很多地方可以進行改善的,以創造更安全的配置。
【編輯推薦】
