當數據中心越來越虛擬化時 保護工作該怎么做?(下)
更好的技術控制
在過去幾年中,虛擬化專用技術控制領域發生了很多變化。幸運的是,企業安全團隊使用的一些工具已經得到顯著改善,讓IT人員可以在虛擬環境實現與物理環境相當的安全水平。
所有主要防火墻供應商現在都有虛擬化選項,即虛擬設備(專門的VM)。Check Point、思科、Fortinet、瞻博網絡和Palo Alto等多家知名廠商都提供各種型號的虛擬設備,這些設備可以整合到虛擬基礎設施。Vmware也有自己的vShield系列虛擬防火墻,同時提供內部和外圍監控以及流量控制。
然而,很多安全團隊并沒有廣泛使用虛擬防火墻。這個功能存在,只是網絡和安全團隊仍然感覺其物理防火墻能夠處理網絡內的流量控制。
對這些設備的管理是另一個挑戰。有些虛擬化團隊感覺他們應該管理虛擬環境內的所有組件,即使是那些網絡或安全相關的組件。
從成熟度的角度來看,網絡IDS/IPS可以媲美虛擬防火墻。有時候在虛擬設備也提供這個功能(采用更加統一威脅管理UTM的方法來實現網絡安全)。
除了獨立的平臺,入侵檢測在虛擬環境可以更容易得實現,因為虛擬交換機中具有先進的功能。很多交換機(包括來自微軟、Vmware、思科和Open vSwitch項目的交換機)允許NetFlow輸出,以及端口鏡像選項復制流量到專用的入侵檢測設備或外部傳感器。
端點安全變化
發生顯著改變的領域是端點安全。在大多數虛擬化環境,傳統防病毒代理太耗費資源,很多傳統終端產品并沒有完全優化用于虛擬系統。Intel Security(MOVE)和趨勢科技(Deep Security)的新技術卸載端點安全處理到專用虛擬機,同時利用本地API調用和內核集成來保持VM的處理要求在低水平。
很多企業還沒有部署這些專門的端點安全產品,不過,大部分企業已經開始測試這些工具或者實現有限的部署。在為虛擬環境選擇端點安全產品時,安全團隊需要注意的事項包括以下:
· 檢查供應商產品與你的虛擬化技術的整合水平。目前,Vmware擁有來自新的反惡意軟件和其他端點安全供應商的最多支持。微軟和Citrix與第三方供應商只有較少的整合
· 注意新的“卸載”模式的局限性和缺點。雖然性能可能會提高,但為行為啟發式執行實時掃描和內存分析的能力可能會受到影響。此外,這些產品可能無法在大型環境中很好地擴展。
· 要求供應商提供客戶參考,以及在你的端點類型和虛擬化技術內操作相關的性能統計數據和指標。
虛擬機管理程序日志收集
目前,很多企業的虛擬環境內的日志記錄和監測非常不成熟。
最大的問題是從虛擬機管理平臺進行日志收集,很多企業根本沒有這樣做或者做得不夠。虛擬機管理程序平臺會生成各種日志信息,告訴你誰正在使用該平臺、正在進行什么類型的活動、性能和行為統計數據等。例如,Vmware是ESXi虛擬機管理程序包含以下日志信息,安全和運營團隊應該這些日志進行收集:
· /var/log/syslog.log – 通用系統日志文件
· /var/log/auth.log - 身份驗證和安全事件
· /var/log/vmkernel.log - 其他虛擬機管理程序的信息
· /var/log/hostd.log - Master ESXi服務日志
· /var/log/vpxa.log - vCenter 管理代理日志
大多數基于Linux的虛擬機管理程序(Xen、KVM、Vmware)本身包含某種系統日志守護進程,這使得日志收集和匯總更簡單。在Hyper-V環境中,應該使用針對Windows Event Viewer的日志代理,雖然Microsoft System Center工具也可以從分布式管理程序檢索日志和事件數據。
安全團隊應該收集其環境中所有虛擬機管理程序的所有相關日志信息,并整合這些信息到中央日志管理和SIEM平臺進行分析和關聯。
最后,在大多數企業,仍然需要解決物理和虛擬環境內部署的安全技術之間的差距。但目前很多IT和安全團隊遲遲沒有部署必要的政策和流程來更好地管理虛擬化平臺和虛擬機。
隨著企業對虛擬數據中心的投資增加,企業安全團隊應該認真評估虛擬化專有安全工具,而首席信息安全官應該部署和改進虛擬化管理及操作相關的政策和流程。現在虛擬環境內的安全性并沒有達到物理系統和網絡的水平,但隨著虛擬技術的發展以及政策到位,這個問題可以得到解決。
現狀分析:虛擬網絡安全工具
在評估虛擬設備時,企業團隊應該考慮以下方法來提高虛擬網絡安全性:
確定你是否需要虛擬防火墻來對發送到、發送自虛擬化或云計算基礎設施及其內部的流量進行控制。在某些情況下,因為合規目的,或者為了實現比現有物理防火墻及架構可提供的流量控制更細粒度的控制,企業可能需要虛擬防火墻。
確保你的虛擬IDS/IPS或防火墻供應商支持你主要的虛擬技術。目前,大多數供應商支持VMWare,而Xen和Hyper-V平臺的支持則很有限。
考慮虛擬設備需要多少資源—它們需要內存、磁盤空間和CPU。
考慮防火墻和IDS/IPS管理相關的管理問題。在大多數情況下,可以讓當前管理防火墻和IDS/IPS的團隊管理虛擬模式。
