數據中心虛擬化安全隱患 十步監控預防
虛擬服務器是有很多好處,但它的安全問題完全暴露了嗎?如何確保安全性?可以采用下面十個積極步驟。
去年,數據中心虛擬化方面的重大問題還是“該技術可節省多少資金和時間?”而到今年,這個問題將變成“采用該技術,我們會有多安全?”這是一個極難回答的問題。
一大批拼命推銷虛擬化產品和服務的廠商、顧問在風險及如何防范風險方面存在相左的觀點。同時,一些安全研究人員也在大肆宣傳理論上存在的風險,比如可能會出現的惡意軟件。市場研究公司伯頓集團的高級分析師Chris Wolf說: “現在虛擬化方面的動靜很大,讓人暈頭轉向。”
許多IT部門表示,在去年開始創建成千上萬個新的虛擬機時,他們認為運行速度比其他因素(如安全規劃)更重要。IDC公司負責企業系統管理軟件的研究主任Stephen Elliott說: “安全是虛擬化擴建過程中被遺忘的一個角落。要是想想現在虛擬機的數量,確實挺讓人擔憂。”據IDC聲稱,如今,員工總數不少于1000人的公司當中有75%在使用虛擬化技術。
Gartner公司的副總裁Neil MacDonald在去年10月舉辦的Symposium/ITxpo大會上預測,到2009年,60%的生產虛擬機安全性將不如物理服務器。
安全專家Chris Hoff認為,到目前為止,圍繞虛擬化安全的討論大部分都是片面的。他是優利系統公司安全創新部門的首席架構師。其實應該這么考慮: “已經把知道的安全知識運用到了虛擬化環境中嗎?我們應當確保構建的虛擬網絡要與構建的物理網絡一樣可靠、安全。”
某些IT部門正在犯一個根本的錯誤:他們讓服務器部門單槍匹馬地開展虛擬化項目,沒有讓IT團隊的安全、存儲和網絡專家參與進來。這會給虛擬化技術帶來內在的安全問題缺陷。
伯頓集團的Wolf說:“虛擬化絕大部分靠規劃,而規劃必須讓全部團隊參與進來,包括網絡、安全和存儲等團隊。”而事實上,大多數IT團隊在迅速推進虛擬化的項目,安全方面的工作跟不上。如果錯失了與所有專家一起規劃的大好機會,那該怎么辦呢?Wolf說:“安全方面想迎頭趕上,不妨從認真審查虛擬基礎設施入手,這要借助工具或者顧問。”
下面是企業為了加強虛擬機安全可以采取的十個積極步驟:
十步監控預防數據中心虛擬化安全隱患一、控制虛擬機的數量
創建虛擬機只要短短幾分鐘,但虛擬機數量越多,面臨的安全風險也越大,所以,最好能夠跟蹤所有的虛擬機。
Arch Coal公司負責IT的CIO Michael Abbene說:“我們先對很不重要的測試和開發設備進行了虛擬化處理,然后轉向一些不太重要的應用服務器。因為一直很成功,所以我們把目標放在比較重要的服務器上,但這么做會加大風險系數。”該公司目前大約有45個虛擬機,包括活動目錄服務器以及幾臺應用服務器和Web服務器。
那么,如何控制服務器數量激增?一個方法是: 創建虛擬服務器要像創建物理服務器一樣嚴格。在Arch Coal公司,IT團隊對創建新虛擬機的審批很嚴。“無論是物理服務器還是虛擬服務器,都要通過同樣的流程才能獲得批準。”Arch Coal的微軟系統管理員Tom Carter說。
為此,Arch Coal的IT部門通過一個委員會(由服務器和存儲等不同部門的IT員工組成,實現輪崗制)批準或者否決申請。這意味著應用開發部門的人員根本無法擅自構建VMware服務器,不過他允許開發人員提出要求。
專家認為,虛擬機數量激增是一大問題,會導致管理、維護性能及配置供應的能力出現滯后。“另外,如果虛擬機的數量超出了控制范圍,就會出現意料不到的管理成本。”Tom Carter說。
十步監控預防數據中心虛擬化安全隱患二、運行更多流程
虛擬化技術最吸引人的也許在于速度: 只要幾分鐘就能創建虛擬機,可以輕松移動,只需要一天而不是幾周即可提供新的計算功能。但IDC的Elliott認為,放慢節奏,認真考慮虛擬化成為現有IT流程的一部分,就能夠從根本上預防安全問題。
Elliott說:“流程至關重要。考慮虛擬化時不僅要站在技術的角度,還要站在流程的角度。”舉例說,如果使用ITIL來指導IT流程,就要考慮虛擬化是否適合流程框架。如果使用其他IT最佳實踐,也要考慮虛擬化的適應性。
Hoff舉例說:“如果要加強服務器安全,就應當對虛擬服務器采取與物理服務器同樣的一套做法。”
在Arch Coal公司,Abbene的IT團隊就是這么做的。Abbene說:“我們確保物理服務器安全的最佳實踐運用到了每一個虛擬機上。”加強操作系統安全、在每一個虛擬機上運行反病毒軟件、確保落實補丁管理,這些措施使得虛擬機具有同樣的安全流程。
十步監控預防數據中心虛擬化安全隱患三、利用安全工具
是否需要一套全新的安全和管理工具來保護虛擬化環境?不需要!
明智之舉就是,從保護物理服務器和網絡環境的一套現有安全工具入手,然后運用到虛擬環境。但一定要了解廠商是如何跟蹤虛擬化風險、將來如何與其他產品進行集成的。
IDC的Elliott說:“保護物理環境的工具用于保護虛擬化環境是一種虛假的安全感。”同時他又說:“對虛擬化環境的新型安全工具而言,目前處于市場的早期階段。這意味著必須對傳統廠商以及潛在的新興廠商施加壓力。”
別以為平臺層面的工具(如VMware的工具)足夠好。要看一看新興公司和傳統管理廠商。對那些傳統廠商施加壓力,要求他們做更多的工作,并為他們提供指導。
馬自達北美公司的CIO—Jim DiMarzio就在他的企業中采用了這項策略。與Arch Coal一樣,馬自達北美公司也在虛擬服務器的核心處運行VMware的ESX Server軟件,最近一直在增加虛擬機的數量。DiMarzio說,到2008年3月會有150個虛擬機。
為了保護這些虛擬機的安全,DiMarzio決定繼續使用現有的防火墻和安全產品,包括IBM的Tivoli Access Manager、思科防火墻工具以及賽門鐵克的入侵檢測系統(IDS)監控工具。
Arch Coal公司的Abbene及其團隊也繼續使用原有的安全工具,同時又在調查BlueLane 和Reflex Security等新興公司的工具。Abbene說:“傳統安全廠商正在奮起直追,他們在這方面落后于新興公司。”
十步監控預防數據中心虛擬化安全隱患四、采用嵌入式管理程序
服務器上的虛擬機管理程序層充當虛擬機的基礎。VMware近期宣布推出的ESX Server 3i虛擬機管理程序的獨特之處在于不包括通用操作系統。出于安全上的考慮,它采用了精簡設計,只占用32MB空間。
像戴爾和惠普這些硬件廠商表示,它們會在物理服務器上交付像VMware這種虛擬機管理程序的嵌入式版本。基本上,嵌入式虛擬機管理程序因為比較小,所以比較安全。
專家認為,嵌入式虛擬機管理程序是將來的一大趨勢。不但從未涉足過這個領域的一些公司會提供嵌入式虛擬機管理程序,大多數服務器廠商也會提供。BIOS軟件領域的市場領導廠商Phoenix Technologies近期宣布: 進入虛擬機管理程序領域,首先會推出名為HyperCore的產品,即面向桌面和筆記本電腦的虛擬機管理程序。用戶開機后,可以使用網絡瀏覽器和電子郵件等客戶軟件,無須等待啟動Windows(HyperCore將被嵌入到電腦的BIOS中)。
虛擬機管理程序市場的競爭和創新對企業來說是好事。最終可能出現的結果是,許多公司會競相提供最精簡、最智能的虛擬機管理程序軟件。Hoff說:“無論是Phoenix還是其他廠商,會出現備受關注的競爭,這些虛擬機管理程序都希望成為下一個優秀的操作系統。”
十步監控預防數據中心虛擬化安全隱患五、限制訪問虛擬機權限
如果賦予了訪問虛擬機的管理員級別權限,也就是賦予了訪問該虛擬機上所有數據的權限。伯頓集團的Wolf建議,要慎重考慮員工需要哪種賬戶和訪問權限。更復雜的問題是,有些第三方廠商針對虛擬機的存儲和備份安全的建議是過時的。Wolf又說:“有些廠商甚至本身就沒有遵守VMware針對VMware Consolidated Backup的最佳實踐。”
Arch Coal的信息安全管理員Paul Telle說,總體而言,公司特別注意限制訪問虛擬機的管理員權限。他指出,公司里只有一小部分人才擁有這樣的權限。
應用開發人員應該只有最小的訪問權限。“我們的應用開發人員可以訪問共享區域,這是最小的訪問權限。他們無法訪問操作系統。”他說,這有助于控制虛擬機數量激增,同時增強了安全性。
#p#十步監控預防數據中心虛擬化安全隱患六、留意存儲資源
有些企業在SAN上提供過多的存儲資源,這就可能錯誤地讓虛擬機的共享區域成為SAN的一部分。
如果使用VMware移動虛擬機的工具VMotion,會在SAN上分配一些分區存儲資源。 但還要細化存儲資源的分配,就像在物理環境下那樣。展望未來,N-port ID虛擬化技術是一個選擇,這項技術可以只為一個虛擬機分配存儲資源。
十步監控預防數據中心虛擬化安全隱患七、隔離網段
企業走上虛擬化道路,不該忽視與安全有關的網絡流量風險。但其中一些風險很容易被忽視,如果在進行虛擬化規劃時沒有網絡和安全人員參與,更是如此。Wolf說:“許多企業只是把性能作為合并服務器的度量標準。”
舉例說,有些CIO絕對不允許任何虛擬服務器出現在“非軍事區(DMZ)”。(DMZ是存放外部服務到互聯網的子網絡,就像電子商務服務器一樣,它在互聯網和局域網之間增加了緩沖區)。
Wolf說,要是DMZ里面果真有幾個虛擬機,就要放在與一部分舊系統(如關鍵的Oracle數據庫服務器)分開在的獨立網段上。
Abbene說,在Arch Coal公司,IT團隊一開始就考慮到了DMZ。他們把虛擬服務器部署在內部局域網上,不面向公眾。Abbene說:“這是一個關鍵的決定。”舉例說,公司在DMZ里面有幾臺安全的FTP服務器以及幾臺從事簡單電子商務的服務器,公司不打算把虛擬機部署到里面。
十步監控預防數據中心虛擬化安全隱患八、注意交換機
什么時候交換機不是交換機?Wolf說:“有些虛擬交換機的工作方式類似集線器,每個端口鏡像到虛擬交換機上的所有其他端口。”特別是如今的微軟Virtual Server帶來了這個問題。VMware的ESX Sserver不會,思杰的XenServer也不會。他說:“人們一聽到‘交換機’,就認為有隔離機制。這其實視廠商而定。”
十步監控預防數據中心虛擬化安全隱患九、監控“非法”虛擬機
要擔心的不僅僅是服務器。Wolf說:“最大的威脅在客戶端上—非法虛擬機(rogue VM)。” 那么,什么是非法虛擬機?用戶能夠下載及使用VMware Player這樣的免費程序,會讓桌面和筆記本電腦用戶可以運行由VMware Workstation、Server或者ESX Server創建的任何虛擬機。
如今許多用戶喜歡在桌面或者筆記本電腦上使用虛擬機分開各部分工作,或者分開公事與私事。 有些人使用VMware Player在一個機器上運行多個操作系統。 比如使用Linux作為基本操作系統,卻創建一個虛擬機來運行Windows應用。
Wolf說:“這些虛擬機甚至沒有打上相應的補丁。那些系統暴露在網絡上因而所有未加管理的操作系統易受攻擊。”
這會增添很多風險:運行非法虛擬機的機器可能會傳播病毒。更糟糕的是,可能還會傳播到物理網絡上。舉例說,有些人就很容易加載DHCP服務器以便分配虛假IP地址。這實際上就是一種拒絕服務攻擊。至少,會把IT資源浪費在查明問題上。甚至有可能是簡單的用戶錯誤,也會給網絡帶來不必要的負擔。
那么如何防范非法虛擬機呢?首先應當加以控制,規定誰可以獲得VMware Workstation(因為創建虛擬機需要它)。IT部門還可以使用群組安全策略來防止某些可執行程序運行,比如安裝VM Player所需的可執行程序。另一個選擇是,定期審查用戶的硬驅。需要找出裝有虛擬機的機器,然后標記出來,以便IT部門采取適當行動。
這是不是已成了用戶和IT部門之間的另一個爭論點—精通技術的用戶需要在公司能像在家里那樣使用虛擬機?Wolf說還沒有。他說:“大部分IT部門對此置之不理。”
如果允許用戶在電腦上運行虛擬機,VMware的Lab Manager及其他管理工具可以幫助IT部門控制及監管這些虛擬機。
十步監控預防數據中心虛擬化安全隱患十、做好虛擬化安全預算
IDC的Elliott說:“確保分配好虛擬化安全和管理方面的預算。”Arch Coal公司的Abbene指出,可能不需要在安全預算中為虛擬化安全單列預算,但全部安全預算最好為它留出足夠多的資金。
另外,在估算虛擬化的投資回報時要留意安全成本。Hoff指出,對越來越多的服務器進行虛擬化處理,并不會使安全開支有所降低,因為需要運用現有的安全工具來管理每個虛擬機。如果沒有預料到這筆開支,可能會減少投資回報。
據Gartner聲稱,這是目前常犯的一個錯誤。據Gartner的副總裁Neil MacDonald聲稱,2009年,部署的虛擬化技術大約有90%面臨未預料到的成本,比如安全成本等,這會影響投資回報。
【編輯推薦】
