如何整合物理機和虛擬機的安全
管理和整合物理機和虛擬機的安全-無論在線和離線-無疑都是一個挑戰,截止當前,還沒有明確的“最佳實踐”方法。根據Gartner公司最近的研究報告,2009年,60 %虛擬機的安全性將弱于相應的物理服務器。這一數字突出了確保虛擬機安全面臨的挑戰,也突顯了培訓一些能在需要的時候在物理環境和虛擬環境之間轉換的管理員的匱乏。
我認為挑戰可分為兩類:人員和安全工具,或人員和安全工具的缺乏。當涉及到安全管理的人為因素時,盡量避免將物理系統管理和虛擬化資源管理分開為單獨的管理結構。如果發生什么事情,IT部門的人員必須得準備更加密切地工作,否則你會為此浪費時間和資源。在純粹的物理IT環境中,許多角色是獨立的清晰明了的,如服務器管理,存儲,網絡和安全。當服務器虛擬化被引進時,在這個行業仍然在學習虛擬化如何充分影響網絡和服務器的安全性景觀。現有確保物理服務器安全的策略,技術,配置和實踐,根本無法簡單地以同樣的方式應用于虛擬服務器。比如,安全設備和策略需要消除對IP地址的依賴性,因為由于虛擬機的創建、刪除或者遷移將引起IP地址更加經常地變化。
此外,在虛擬化主機內網絡可視性將會有所降低。傳統的網絡安全工具不一定能看到在同一主機內不同虛擬機之間的通信,這使異常通信的檢測變得困難。變更管理程序也應進行檢查,以確定如何和何時記錄變化。例如,將來的審計員,是需要對主機創建變化日志還是對客戶機創建變化日志,或者兩者都要?
第二個挑戰是尋找幫助確保混合基礎設施安全的工具。物理世界和虛擬世界的安全工具絕大多數是不一樣的。例如,虛擬機的工具和實用程序在類似VMware的環境下運行良好,但他們并沒有真正被設計為能復制到綜合物理系統中。許多廠商,如微軟,戴爾,IBM和惠普公司正在試圖解決這個問題。例如,Check Point軟件技術公司的VPN - 1虛擬環境,為物理網絡和虛擬應用提供統一的安全管理,允許系統管理員從同一個接口運行虛擬、物理和網絡安全任務。重要的是它為包括虛擬環境在內的整個安全基礎設施提供了統一的日志記錄。這是混合環境審計和遵守的關鍵因素。
當涉及到的補丁管理,Shavlik技術公司的NetChk Protect現在能為在線和離線的虛擬機、物理機提供集中的補丁程序管理。它也能發現離線的虛擬鏡像。賽門鐵克公司的Backup Exec 12.5支持VMware ESX和微軟Hyper- V的虛擬機和物理機備份,并允許系統管理員使用一個控制臺來備份物理機和虛擬機器到磁盤。
毫無疑問,虛擬化顯然有許多好處,并能減少了總成本,但是在今后的一段時間內,運行異構基礎設施的物理機和虛擬服務器將仍然是一種挑戰。企業安全管理人員應及時了解虛擬化系統面臨的威脅以及虛擬化在發展過程中的安全創新。
【編輯推薦】
