巧用三大技巧加強虛擬環境的網絡安全
對于IT專業人士而言,虛擬化既簡化又復雜化了網絡環境。大多數IT專業人士都知道,虛擬化提高了IT資產的運營靈活性 。然而,與此同時,虛擬化也讓網絡環境更加復雜。以前我們要說出具體機器的名稱才能指向它,而現在這些機器被虛擬化為一個使它們具有移動性的基礎設施。
無論是通過VMware的vMotion還是微軟Hyper-V的Live Migration實現的移動性都確保了最高的運行時間,然而,這種移動性還引入了很多與安全有關的潛在問題。
如果虛擬機可以移動,它們將如何被控制?如果它們可以在任何位置,你該如何部署控制?
幸運的是,IT部署虛擬化的驚人速度催生了高水平的安全指導,而這比心態上的整體轉變還要快。在提高動態虛擬環境的網絡安全性時,請考慮以下三個關鍵步驟:
分離虛擬機管理和從虛擬機操作遷移是很重要的步驟。
技巧1:從虛擬機操作分離虛擬機管理。 這個技巧最常被忽略,而這也是最重要的技巧之一。
首先,考慮一下虛擬機可能的操作:電源開啟和關閉、重新啟動其操作系統、創建和管理快照(snapshot),以及在其操作系統內工作或者遠程化其控制臺。
記住這些操作,現在將它們分成截然不同的兩部分。第一部分是再虛擬機內完成的操作,例如管理或者說運作其操作系統。第二部分是對虛擬機本身進行的操作,例如打開電源開關或者創建快照。最佳網絡安全做法建議第二部分的操作應該隔離到其自身的獨立的高度控制的網絡中。
如果這種隔離還是讓你感到困惑,那么可以想一想對實體計算機的操作。在實體計算機上,有電源按鈕、網絡接口,以及直接(或邏輯地)連接到機箱的各種形式的管理工具。你需要按下電源按鈕來關閉機器,電源按鈕就在機箱上。連接網絡也需要你將網線插入機箱。
在現實世界,需要通過指紋識別和證件進入數據中心房間后,才能夠進行這些操作。如果虛擬化環境沒有部署身份驗證系統,而任何人都可以直接操作,這就像將數據中心房間的大門敞開。將這些操作(通常是通過系統管理程序的“管理連接”來設定)隔離到它們自己的網絡等于重新鎖上了虛擬數據中心的大門。
技巧2:從虛擬機操作中隔離虛擬機遷移。如果說,技巧1是最容易被遺忘的最佳做法,那么技巧2則緊跟其后。很多IT專業人士并不一定知道,在vMotion或者Live遷移期間,一些管理程序并不會對兩臺主機間傳遞的內存狀態信息進行加密。
現在,從很多類型的惡意軟件行為的角度,想一想這種設計目的。這些惡意軟件行為都是關于捕捉以及重新配置內存數據值,通過重新配置某些內存數據值,惡意軟件可以將其自身“插入”到內存中,然后將其有效載荷放入內存,惡意軟件就可以在不被系統察覺的情況下進行任何操作。
雖然虛擬機是在主機上運行,但它們地內存仍然受到操作系統架構內元素的保護。然而,在遷移過程中,這些元素被規避了,以將虛擬機的內存狀態從一臺主機傳遞到另一臺。雖然這種情況很短暫并且不可預知,但是這仍然為潛在攻擊者提供了一次絕佳的機會。
盡管這個漏洞很難被利用,但是遷移流量應該被隔離到自己的網絡還有第二個原因:性能保證。遷移是時間敏感事件,特別是當很多遷移需要同時進行的時候。通過將其流量隔離到獨立的網絡路徑,可以幫助確保快速執行遷移的最佳環境。
正確的網絡隔離政策幫助確保最佳虛擬機操作。
技巧3:從虛擬機操作分隔虛擬機存儲。 從這些建議中,你看得出主題是什么嗎?很明顯,適當的網絡隔離是確保最佳虛擬機操作的最重要因素。
存儲問題與上述技巧1和技巧2有所不同。眾所周知,存儲連接是極其消耗資源的。虛擬機到其磁盤的連接通常需要大比例的千兆或萬兆連接。將存儲隔離到自身網絡避免了一個連接類型影響其他連接的吞吐量問題。
從安全角度來看,應該認識到一些存儲連接類型可能需要特別注意,例如iSCSI或者FCoE連接。在存儲流量傳遞不被虛擬環境管理員完全信任的網絡中,這個建議顯得尤為重要。iSCSI和FCoE都配備了身份驗證協議以確保目標和發起者在傳遞流量前互相確定身份。
在加密流量以及流量在發起者和目標之間的傳遞方面,這兩種協議只能提供有限的支持。現在有很多技術可以完成這個任務,然而,在實際操作中并不是那么理想。加密要求在源頭和目標處進行額外的處理工作,而這種處理將影響或者降低性能。
加密還會對下游活動造成不良影響,例如如果在其配置中沒有進行特殊關注,將會出現復制問題。在選擇加密路徑前,請咨詢制造商。在確保傳遞過程的安全方面,可能需要不同的硬件、軟件或者配置。
結語
正如你所見,虛擬環境的網絡安全覆蓋面比物理環境更廣,有更多需要我們注意的地方。如果你選擇虛擬化,請檢查你的網絡安全策略,找出薄弱環節。要知道,潛在攻擊者肯定在做同樣的事情。
【編輯推薦】
