技術指南:如何保護數據中心虛擬化安全
盡管服務器虛擬化技術以爆炸式速度席卷全世界的數據中心,但維護虛擬環境安全的技術卻嚴重滯后。據隸屬惠普公司的網絡安全解決方案提供商TippingPoint的產品線管理總監詹姆斯.考利格的說法,這個事實可能會讓某些部署了虛擬化的企業為服務器安全問題而頭疼不已。考利格在今年初參加倫敦舉行的信息化安全歐洲2010峰會時表達了這番觀點。
根據Gartner咨詢公司的數據統計:從某方面來說,2009年下半年至少有16%的企業級工作負載是在虛擬服務器上運行的,但是這個比例到了2012年有望增長到50%--即以X86為基礎的虛擬機將達到大概5800萬個。但是Gartner咨詢公司也預測稱,這些虛擬服務器中大約有60%的安全性要遜于他們所取代的物理服務器。
Forrester研究公司也指出,采用虛擬化管理程序軟件的企業中有98%正在使用VMware虛擬化技術。這意味著如果VMware軟件被發現存在零日漏洞的話,黑客可能會通過諸如電子郵件,網絡或者域名服務器等各種途徑來發動攻擊。
虛擬服務器的安全性為什么就不如他們所取代的物理服務器呢?考利格所提到的某些導致服務器安全級別較低的原因包括:
*許多服務器虛擬化項目實施之初就沒有將安全問題考慮在內
*所有的虛擬工作負載存在虛擬軟件受到安全威脅的可能
*不同信任級別的虛擬工作負載通常被整合在單個物理主機上,沒有進行足夠的隔離
*許多企業對管理程序/虛擬機監管層管理訪問的足夠控制和管理工具
這些對虛擬環境的實際威脅以管理程序為中心可以劃分為幾個類別:
黑客攻擊:這會涉及對管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級別上運行的,因為管理程序上運行的任何操作系統都很難甚至不可能偵測到這些威脅。從理論上來說,控制了管理程序的黑客會控制任何在物理服務器上運行的虛擬機。
虛擬機溢出:會導致虛擬機溢出的漏洞會允許黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。
虛擬機跳躍:與虛擬化溢出類似,虛擬機跳躍會允許攻擊從一個虛擬機轉而去威脅在同一個物理硬件上運行的其他虛擬服務器。
虛擬機被盜:這是一種用電子方式竊取虛擬機文件然后四處傳播和運行的能力。是一種相當于竊取了完整的物理服務器的攻擊,而且無需進入安全的數據中心和移除計算設備。
所有這些威脅方式是當企業部署虛擬環境時,他們使用了一種全新的關鍵任務元素:管理程序。由于對管理程序的成功攻擊會導致對所有托管的工作負載都造成威脅--而對個別虛擬工作負載的成功攻擊也會對管理程序造成威脅,因此企業的管理程序應該被認定為關鍵任務軟件并進行適當的安全防護,考利格強調說。
在傳統的IT環境中,網絡流量可以使用一系列服務器安全防護系統來偵測惡意行為以實現監控,檢查和過濾。但是虛擬環境的問題是通過虛擬交互及運行的虛擬機之間的通信很大一部分是無形的:它不是通過有線電纜來實現通信,也就無法用正常方式來實施監控。考利格認為只有一種解決方案可以解決這個問題"那就是必須建立虛擬機到虛擬機的流量可視化和控制"。
一個復雜的問題是虛擬數據中心中經常會出現職責的分離。服務器和運營團隊通常負責虛擬交換機的配置和管理。幾乎或者完全沒有綜合性的應用工具和安全控制。對于網絡和安全團隊而言,這會導致實施配置審核可視性的缺失,就很難對拓撲和配置變化進行偵測,考利格強調會所"網絡和安全團隊必須掌控訪問層的一舉一動"。
考利格推薦了三種方式來實現這一目標:
1.硬件方式
硬件途徑會涉及迫使ESX主機之間的流量由入侵檢測系統加以審核。考利格描述這個系統的每個ESX托管都配置了獨一無二的出入虛擬本地局域網,配置了虛擬本地局域網的入侵檢測系統要配置每個入口虛擬本地局域網和出口虛擬本地局域網。這樣能保證所有虛擬機到虛擬機的流量可以通過有線發送到入侵檢測系統進行審核,只有干凈的流量才能在每個入口/出口虛擬本地局域網之間進行通行。這種方法的不足之處就是在多個數據中心和災難恢復站點進行復制的成本太高。
2.完全虛擬化的方式
采用這種方式,每個ESX主機都配置了虛擬入侵檢測系統和防火墻,每個虛擬機配置的協議可以判斷什么流量應該被檢測。這種方式能保證所有被許可的內部虛擬機流量都能被檢測到,而且當虛擬機在物理主機之間遷移時,安全協議也會隨之一起遷移,不過不足之處是這種方式是影響體系架構的性能為代價的。
3.綜合方式
這是一種可以大幅度緩解完全虛擬化方式所導致的虛擬受損的折衷方式。這種方式是在每個虛擬機上運行虛擬轉向器,虛擬機配置了什么流量應該被改變方向-轉向物理入侵檢測系統的協議來進行檢測。入侵檢測系統只允許通過檢測的干凈流量在虛擬機之間進行通行。
因此什么是最佳方法?考利格表示什么是適合企業用戶的最佳方法要取決于企業自身的目標和預算以及面對風險的態度。某些成功的解決方案可能會涉及這些三種方法中其中兩種方法的結合使用。
考利格表示,好消息是隨著安全公司研發出能提供必備功能的更多產品,構建和實施這些解決方案可能在不久的將來將變得更加容易。
【編輯推薦】
