當(dāng)數(shù)據(jù)中心越來(lái)越虛擬化時(shí) 保護(hù)工作該怎么做?(上)
隨著企業(yè)越來(lái)越多地投資于虛擬化技術(shù),安全專業(yè)人士都在試圖管理這些環(huán)境中的安全性。
很多公司不得不面對(duì)的現(xiàn)實(shí)是:虛擬環(huán)境內(nèi)的安全性并沒(méi)有達(dá)到傳統(tǒng)物理網(wǎng)絡(luò)和系統(tǒng)的標(biāo)準(zhǔn)。
為什么企業(yè)安全團(tuán)隊(duì)遲遲沒(méi)有部署必要的政策和流程來(lái)安全地管理虛擬化平臺(tái)呢?有時(shí)候,這是因?yàn)椴怀墒旒夹g(shù)(例如端點(diǎn)安全)不能很好地應(yīng)用在虛擬數(shù)據(jù)中心。在其他情況下,安全團(tuán)隊(duì)可能不知道“他們不知道什么”,或者在部署流程中不夠成熟。
現(xiàn)在越來(lái)越多的企業(yè)虛擬化其數(shù)據(jù)中心,在這些環(huán)境中部署基本的安全做法和技術(shù)的需求也在增加。現(xiàn)在有很多可用技術(shù)來(lái)幫助IT安全在虛擬基礎(chǔ)設(shè)施部署控制,但安全團(tuán)隊(duì)只是部分地使用這些工具。隨著計(jì)算工作負(fù)載逐漸增多,安全團(tuán)隊(duì)?wèi)?yīng)該認(rèn)真評(píng)估虛擬化專有技術(shù),并更深入地整合到其數(shù)據(jù)中心。
管理不當(dāng)?shù)沫h(huán)境
好消息是,虛擬化可以簡(jiǎn)化漏洞修復(fù)和配置管理,但同時(shí)也需要嚴(yán)格的目錄管理來(lái)避免虛擬機(jī)泛濫。
在虛擬化環(huán)境中,很多虛擬機(jī)位于單個(gè)物理系統(tǒng),即所謂的多租戶。管理程序軟件負(fù)責(zé)維護(hù)虛擬機(jī)之間的分隔和隔離。同時(shí),開(kāi)源或商業(yè)虛擬網(wǎng)絡(luò)和虛擬安全設(shè)備或插件可以輔助這一工作。
在虛擬化環(huán)境中,配置管理其實(shí)可以更容易。使用模板可以簡(jiǎn)化新虛擬機(jī)的部署,模板維護(hù)可以幫助集中化配置管理工具和做法到一個(gè)位置。微軟、Citrix和Vmware都提供工具和其他辦法來(lái)創(chuàng)建和管理虛擬機(jī)生命周期以及配置虛擬機(jī)生命周期及配置。
雖然漏洞修復(fù)在很多企業(yè)仍然是挑戰(zhàn),但對(duì)虛擬機(jī)測(cè)試補(bǔ)丁通常更容易,因?yàn)槟憧梢栽跍y(cè)試前對(duì)鏡像快照,并在測(cè)試完成時(shí)回滾到原來(lái)的鏡像。
然而,在很多環(huán)境的主要安全問(wèn)題是缺乏虛擬機(jī)相關(guān)的完善的目錄管理。管理員和開(kāi)發(fā)人員可以很容易地創(chuàng)建虛擬機(jī),這種簡(jiǎn)便性導(dǎo)致系統(tǒng)在配置時(shí)很少考慮到生命周期管理。有時(shí)候虛擬機(jī)可能會(huì)被暫停或關(guān)閉,并保持休眠一段時(shí)間;然而,與這些機(jī)器相關(guān)的文件仍然包含敏感數(shù)據(jù)。當(dāng)虛擬機(jī)再次啟用時(shí),它們可能已經(jīng)錯(cuò)過(guò)補(bǔ)丁修復(fù)和關(guān)鍵的配置控制。
想要正確管理虛擬環(huán)境的動(dòng)態(tài)特性,運(yùn)營(yíng)團(tuán)隊(duì)需要更新和調(diào)整其變更管理流程來(lái)適應(yīng)變化的節(jié)奏,同時(shí)考慮虛擬化堆棧中所有組件的依存關(guān)系—存儲(chǔ)、網(wǎng)絡(luò)和虛擬機(jī)管理程序。
角色和特權(quán)管理
在虛擬環(huán)境的職責(zé)分離也很困難。有些IT企業(yè)在開(kāi)始虛擬機(jī)部署時(shí),讓現(xiàn)有的管理員和工程師團(tuán)隊(duì)設(shè)計(jì)并部署虛擬化技術(shù)。這一團(tuán)隊(duì)通常需要管理虛擬基礎(chǔ)設(shè)施的各個(gè)組件,缺乏職責(zé)分離可能導(dǎo)致意外錯(cuò)誤或者管理不當(dāng)?shù)沫h(huán)境(更不用提當(dāng)某個(gè)虛擬化團(tuán)隊(duì)成員變成惡意內(nèi)部人員所造成的問(wèn)題)。
Vmware管理員使用默認(rèn)的“管理員”角色執(zhí)行所有管理活動(dòng)并不是稀罕事。在虛擬環(huán)境中管理存儲(chǔ)和網(wǎng)絡(luò)對(duì)象的其他IT管理員通常也會(huì)承擔(dān)這一角色,這些管理員通常有著過(guò)多的操作權(quán)限。
從網(wǎng)絡(luò)安全方面來(lái)看,這種趨勢(shì)是明顯的后退。有些企業(yè)正在部署中央接入網(wǎng)關(guān)到其虛擬化管理工具,其中包括更強(qiáng)的的角色和權(quán)限管理。這樣的產(chǎn)品例子是Hytrust設(shè)備—它整合了Vmware的vCenter管理平臺(tái)。
流量問(wèn)題
在虛擬數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)整合也可能導(dǎo)致影響安全的問(wèn)題。由于所有虛擬機(jī)都共享硬件,虛擬機(jī)管理程序服務(wù)器或刀片服務(wù)器中的網(wǎng)絡(luò)接口數(shù)量可能會(huì)決定網(wǎng)絡(luò)流量的融合程度。
大多數(shù)虛擬環(huán)境包含正常的生產(chǎn)流量,以及管理流量來(lái)訪問(wèn)和操作虛擬化組件的存儲(chǔ)流量(例如iSCSI或光纖通道)。此外,還有操作流量,例如動(dòng)態(tài)虛擬機(jī)遷移(在Vmware環(huán)境中被稱為vMotion)。
vMotion流量包含以文本形式發(fā)送的虛擬機(jī)(VM)內(nèi)存內(nèi)容,這可能包括敏感數(shù)據(jù)和身份驗(yàn)證憑證。管理流量可能包括配置詳細(xì)信息或?qū)粽哂杏玫钠渌畔ⅰ_@些信息與生產(chǎn)流量混雜可能會(huì)增加數(shù)據(jù)在環(huán)境內(nèi)暴露機(jī)會(huì),如果攻擊者成功入侵環(huán)境,這可能導(dǎo)致數(shù)據(jù)泄露。現(xiàn)在很少企業(yè)會(huì)完全區(qū)別對(duì)待虛擬數(shù)據(jù)中心的所有這些數(shù)據(jù)類型。
