解讀保障虛擬化安全的考慮部署五要素
虛擬化安全刻不容緩
在過去的三年里,服務器虛擬化已從炒作階段進入到主流領域,而桌面虛擬化是如今炙手可熱的技術潮流之一。盡管虛擬化技術迅速得到了接受,但很少有企業認真考慮部署這項技術會給安全帶來什么樣的影響。在許多情況下,虛擬化改變了安全領域的規則,企業需要對各自的安全戰略進行相應調整。
目前有一種普遍觀點,以為安全根本不成問題;因為所有虛擬化服務器都駐留在企業網絡內部的深處;因而自動得到了現有安全設備的保護。然而,與傳統計算環境里面的關系相比,虛擬平臺會導致IT資源之間出現完全不同、更加動態的關系,而這影響到網絡安全。如果企業已經有了虛擬化或計劃采用虛擬化,就應該在安全方面考慮諸多因素。
虛擬化安全的考慮部署要素
1.要考慮的第一個因素:研究調查一番,弄清楚虛擬化到底意味著什么。
由于越來越多的安全泄密事件被暴露,廠商開發出專門的安全產品,人們對虛擬化安全的了解日益透徹。不過,同時不斷需要滿足嚴格的監管法規或合規準則,這就意味著虛擬化安全開始成為網絡管理人員優先考慮的事項。
談論虛擬化安全時,要考慮的第一個重要因素就是定義虛擬環境到底是什么,因為這將界定對網絡構成的威脅類型。虛擬環境是指直接或間接涉及虛擬主機的一切。虛擬環境的部件包括但不僅限于管理工具、備份工具、存儲系統、虛擬網絡和物理網絡。如果對虛擬環境定義不當,就會導致企業忽視一個重要的安全問題,從而危及整個網絡。
2.要考慮的第二個因素:一開始就讓IT安全小組參與進來。
促使虛擬化項目上馬的最常見動因就是可以節省成本,這源于服務器整合。管理這種項目的通常是服務器管理員;而在許多大型企業,服務器管理員不是IT安全小組的成員;安全小組在項目的后期階段才參與進來。
這種情形會導致這個局面:安全系統經過改造后堆砌到網絡上,安全方面變得異常復雜。不過復雜的解決方案和規程加大了配置出錯的可能性,結果實際上削弱了安全效果。Gartner公司近期的一份報告表明,99%以上的安全泄密事件是由配置不當引起的。
力求簡潔是安全方面最重要的原則之一,所以企業要確保讓安全小組參與到整個實施過程中來。
3.要考慮的第三個因素:物理安全設備會讓你看不清虛擬環境。
虛擬環境是內部網絡的一部分,很容易遭到安全威脅,所以對它要像對內部網絡的其余部分那樣予以足夠有效的保護。防火墻等傳統的物理安全設備存在一大缺點,原因在于它們無法了解虛擬環境的內部情況。雖然物理安全設備能夠看清進出虛擬環境的每個數據包,但看不清內部流量情況。換句話說,如果某個虛擬機被感染,該虛擬機會傳染到整個虛擬網絡,物理安全設備卻毫無察覺。
不管你在物理環境采用什么樣的安全戰略,虛擬化環境也要有一套同樣的安全戰略。如果你在應用程序之間以及網段之間采用內部防火墻機制,并開始對應用程序和網段進行虛擬化處理,或者甚至像一些主機托管公司那樣對數據中心縮減規模,那么你就需要把所有安全機制引入到新的虛擬化環境。
4.要考慮的第四個因素:留意虛擬局域網標記。
物理安全設備廠商們聲稱,如果你使用虛擬局域網標記(VLAN標記)技術,就能把虛擬網絡擴展到虛擬環境之外。這從技術層面來說確實如此,但往往是深入了解虛擬網絡的一種笨拙方法。管理不同的虛擬局域網是件很復雜的事,而這種復雜性會導致出現錯誤,最終導致系統不安全。
5.要考慮的第五個因素:虛擬環境需要虛擬解決方案。
領先一步的那些企業正在把防火墻和入侵防護系統(IPS)直接部署到虛擬環境中。它們在使用專門為保護虛擬網絡而設計的解決方案。這樣一來,它們就能直接深入了解虛擬機,并且從里面保護虛擬環境。虛擬安全設備可放置在虛擬環境內部的任何地方;這種更強的靈活性有助于保護最最復雜的虛擬網絡。
6.結論
虛擬化戰略再被企業在實施時,需要把安全放在最重要的位置。如果企業能夠確保虛擬環境是整個網絡架構的一部分,并且在所有網絡里面執行始終如一的安全策略,就有望大大減少網絡安全威脅。只有重視上述要考慮的因素,企業才能夠受益于這項創新技術,同時又不會面臨不必要的風險。
【編輯推薦】
