——進行服務(wù)器虛擬化就意味著要重新考慮你的安全部署

惡意管理程序，顛覆性的虛擬機，實時遷移模仿……歡迎來到精彩的服務(wù)器虛擬化世界，在這里你將面臨前所未有的全新威脅，傳統(tǒng)的安全工具比如防火墻和入侵預(yù)防系統(tǒng)對此將無能為力。

不幸的是，在許多企業(yè)里，安全戰(zhàn)略并沒有跟上x86服務(wù)器虛擬化的步伐。“許多擁有虛擬化環(huán)境的公司沒有仔細考慮過他們現(xiàn)在所做的一切將會面臨的安全后果，”Forrester的一位分析師John Kindervag這樣說。

Gartner的Neil MacDonald對此表示贊同。他說，“有關(guān)虛擬安全問題的普遍意識水平并不是太高。”

IT專家們往往認為，由于物理和虛擬服務(wù)器在同一個硬件上運行相同的Linux和Windows操作系統(tǒng)，那么只要保證前者的安全，后者也就足夠安全。“他們會認為什么都沒有改變——這是一個非常危險的錯誤，”MacDonald解釋說。

“當進行虛擬化的時候，你引進了一個新的軟件層，所有在這個軟件層上運行的Windows和Linux工作負載都會依賴于它的完整性。你需要完成的的首要任務(wù)是對這個新層面進行全面認知，并圍繞它的配置和漏洞管理建立一個安全的體系，”MacDonald說。

其次，需要弄清楚如何應(yīng)對網(wǎng)絡(luò)盲點和虛擬化創(chuàng)建，他補充說。

“那些在物理世界中基于網(wǎng)絡(luò)的防火墻或者IPS并不能對兩臺虛擬機之間的網(wǎng)絡(luò)傳輸進行檢測，”MacDonald解釋說，“我們需要回答的問題是，為了對虛擬網(wǎng)絡(luò)流量進行觀察，我們是否需要虛擬服務(wù)器內(nèi)部的安全控制?不論是否需要，你都不得不承認這個網(wǎng)絡(luò)傳輸?shù)拿c，在發(fā)生問題的時候，比如出現(xiàn)虛擬機入侵事件，你可能會對此毫無察覺。”

很多企業(yè)對虛擬服務(wù)器的安全并不重視，因為他們不具備成熟的虛擬化部署。當虛擬服務(wù)器只是被用來進行運行非關(guān)鍵級和低優(yōu)先級的應(yīng)用程序測試或者開發(fā)，安全問題似乎并無大礙。

但是，現(xiàn)在的變化是虛擬化層面轉(zhuǎn)移到生產(chǎn)環(huán)境中并開始托管執(zhí)行關(guān)鍵任務(wù)的應(yīng)用程序。虛擬化越根深蒂固，就越需要部署安全技術(shù)，尤其是那些對虛擬架構(gòu)進行保護的安全技術(shù)。

新的現(xiàn)實

“我們本來認為物理安全可以做到，但是當我們開始發(fā)展虛擬化部署的時候，我們感覺到必須采取主動的措施來保證客戶信息的安全，”美國康涅狄州托馬斯頓儲蓄所副總裁兼網(wǎng)管Patrick Quinn說。

這樣做能讓銀行在虛擬環(huán)境下建立安全的網(wǎng)段，就像在物理架構(gòu)中所做的一樣。它使用Catbird Networks的vSecurity TrustZones虛擬安全技術(shù)，允許不同信用水平的虛擬機共享同一臺主機。

TrustZones讓Quinn能夠?qū)μ摂M機之間的信息流量進行控制。Quinn說他為每一個支行和幾個主要辦公室都建立了TrustZones。

同樣，位于加拿大不列顛省的基洛納衛(wèi)生局希望能夠?qū)⑻摂M服務(wù)器層納入自己的整個安全架構(gòu)，信息安全專家Kris Jmaeff稱。

“當然我們的目標之一使虛擬化層面具有可見性，”Jmaeff說，“我們在使用虛擬傳感器來檢測虛擬服務(wù)器世界或者集群中的信息流量這一點上已經(jīng)有所突破。”

為此，衛(wèi)生局正在測試惠普TippingPoint的安全虛擬框架，它可以讓安全小組對虛擬服務(wù)器、位于VMware平臺上的虛擬交換機以及虛擬機的變化進行監(jiān)控，從而確保安全控制不被篡改和損壞。

此外，恢復(fù)TippingPoint 虛擬化IPS與來自Reflex Systems的vTrust虛擬安全技術(shù)進行了整合。與Catbird的TrustZones相似，Reflex技術(shù)可以讓用戶們創(chuàng)建可信的網(wǎng)段并執(zhí)行相應(yīng)的安全策略，能夠像監(jiān)控器一樣過濾和控制虛擬機之間的信息流動。

“我們此次測試的目標是為了增加該領(lǐng)域的知識，對系統(tǒng)架構(gòu)進行深入的了解，同時為我們在以后將要進行的安全開發(fā)做一些準備和計劃。這是一個很好的學習并且站在虛擬安全最前沿的機會。”Jmaeff說。

#p#

虛擬安全供應(yīng)商

除了Catbird和Reflex這兩家致力于虛擬服務(wù)器安全的公司以外，還有一些其他的虛擬安全創(chuàng)始者，比如Altor Networks，Apani和HyTrust等。除了惠普的TippingPoint，這些供應(yīng)商的產(chǎn)品包括以安全功能比如訪問控制和日志管理見長的CA技術(shù)；為虛擬防火墻而開發(fā)的Check Point軟件技術(shù)；有與Altor建立了戰(zhàn)略關(guān)系的Juniper Networks；還有IBM的IPS和收購了虛擬安全啟動Third Brigade的Trend Micro。

“大公司的介入表示這類產(chǎn)品有著一定的市場需求。讓所有人都具備虛擬化的安全措施只是時間的問題而已，”MacDonald說。

使用IPS或者反病毒軟件，你將會采用與保護物理服務(wù)器一樣的方式來保護虛擬層，這似乎順理成章。

但是MacDonald并不同意這種觀點。“我們認為不需要在虛擬層中運行IPS或者反病毒軟件。相反，良好的配置以及漏洞和補丁管理對于虛擬層而言已經(jīng)綽綽有余了。”

Kindervag補充說，“有人說大約有40%的現(xiàn)代網(wǎng)絡(luò)問題與配置或者其他人為錯誤有關(guān)。這讓我覺得就這一點而論，如何進行安全化管理比虛擬層安全更為重要。”

“供應(yīng)商們現(xiàn)在正在討論的話題是像保護物理環(huán)境下的工作負載一樣保護虛擬機和它們之間信息流動，”MacDonald補充說，“當你開始將虛擬工作負載與不同的信用水品層面結(jié)合到同一個物理服務(wù)器上的時候這就顯得尤為重要。”

他還建議，在評估虛擬安全產(chǎn)品的時候，選擇那些在虛擬環(huán)境中進行過運行優(yōu)化和那些整合入與來自于微軟、VMware和Xen這些虛擬化廠商的虛擬化框架的產(chǎn)品。

#p#

固有安全性

美國最大的區(qū)域投資公司之一Morgan Keegan保持著一種讓自己相當泰然的虛擬安全姿態(tài)。“任何時候我們對于安全的關(guān)注都不會勝過我們對于虛擬環(huán)境下的安全關(guān)注。”公司的一位系統(tǒng)工程師Luke MaClain說。

這是因為Morgan Keegan從2008年3月的一個虛擬化項目起，就開始把安全問題列入考慮范圍。該公司已經(jīng)對75%的服務(wù)器架構(gòu)進行了虛擬化，大約包括三個數(shù)據(jù)中心的基于52臺VMware ESX主機的515臺虛擬機。

現(xiàn)在特殊的IT運營目標是將公司的傳統(tǒng)防火墻中的隔離區(qū)（DMZ）引入虛擬環(huán)境中去。“我們認為通過把這些物理機引入虛擬環(huán)境同時仍舊將它們安置在隔離區(qū)中，以便對它們進行管理，這會讓我們受益匪淺，”Morgan Keegan的網(wǎng)絡(luò)系統(tǒng)工程總監(jiān)Parker Mabry說。

信息安全小組將虛擬防火墻與它們的物理副本也就是Cisco的防火墻進行了對比。他們逐一比較了兩者的功能特征。

“通常我們在提出進行信息安全合作的時候得到的答復(fù)是‘不’，因此通過獲得信息安全來發(fā)現(xiàn)在虛擬環(huán)境下使用虛擬防火墻的價值對于我們而言是一個重大的勝利。”

為了強化隔離區(qū)，Morgan Keegan使用了Reflex的vTrust安全產(chǎn)品。

從操作角度來看，公司通過嚴格的認證來保證虛擬機的安全，McClain補充說。有了VMware的vCenter虛擬化管理工具和管理界面，“我們對任何虛擬機的登陸權(quán)都了如指掌，同時我們也對那些特殊的特別是在DMZ環(huán)境中的變化進行著密切的追蹤。”

原文名：  作者：Beth Schultz

1. 企業(yè)IT部門如何應(yīng)對虛擬化安全風險
2. 令人擔憂的虛擬化安全：控制虛擬機是關(guān)鍵
3. 技術(shù)指南：如何保護數(shù)據(jù)中心虛擬化安全
4. 調(diào)查發(fā)現(xiàn)：企業(yè)虛擬化部署安全不足
5. 絕密：實現(xiàn)虛擬化安全的新方法