CIO如何應(yīng)對(duì)虛擬化的三種安全風(fēng)險(xiǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

CIO如何應(yīng)對(duì)虛擬化的三種安全風(fēng)險(xiǎn)1

據(jù)市場(chǎng)研究公司Forrester Research稱，到2009年，全部企業(yè)服務(wù)器資源將有42%實(shí)施虛擬化。這里的虛擬化概念包含許多內(nèi)容，如服務(wù)器虛擬化、操作系統(tǒng)虛擬化、內(nèi)核虛擬化和虛擬化平臺(tái)，如VMware ESX和微軟的Hyper-V。這些技術(shù)首先都是以虛擬化的形式進(jìn)入數(shù)據(jù)中心的。這些技術(shù)將越來越便宜和容易使用，使它們成為數(shù)據(jù)中心的第一批虛擬實(shí)驗(yàn)品的誘人的候選產(chǎn)品。整合、節(jié)省成本、動(dòng)態(tài)配置和動(dòng)態(tài)遷移等因素正在推動(dòng)大多數(shù)IT部門試驗(yàn)?zāi)撤N形式的虛擬平臺(tái)，推動(dòng)虛擬系統(tǒng)在數(shù)據(jù)中心的應(yīng)用。大規(guī)模基礎(chǔ)設(shè)施系統(tǒng)的出現(xiàn)已經(jīng)使虛擬平臺(tái)成為數(shù)據(jù)中心中全面的面向公眾的應(yīng)用基礎(chǔ)設(shè)施。

虛擬平臺(tái)提供商這段時(shí)間以來一直在用自己的平臺(tái)解決內(nèi)部的安全問題，同時(shí)讓互聯(lián)網(wǎng)安全中心等外部機(jī)構(gòu)使用他們的虛擬安全基準(zhǔn)測(cè)試項(xiàng)目。這些項(xiàng)目的目標(biāo)是解決平臺(tái)安全問題，也就是解決虛擬機(jī)基準(zhǔn)水平的運(yùn)行環(huán)境問題。包括封鎖外部遠(yuǎn)程登錄或者保證只有授權(quán)管理員才能使用等一些要求的安全規(guī)定可能會(huì)重新設(shè)置軟件交換機(jī)。從IT的觀點(diǎn)看，這相當(dāng)于鎖定微軟的 Windows 2003網(wǎng)絡(luò)服務(wù)器;所有的安全措施都適用于這個(gè)平臺(tái)水平，無(wú)論它是EXS那樣的虛擬平臺(tái)，還是像在裸機(jī)上運(yùn)行的Windows 2003 Server那樣的物理服務(wù)器。

然而，虛擬平臺(tái)增加了額外的一層安全要求?，F(xiàn)有的針對(duì)Windows 2003或者Linux特別發(fā)布版等軟件的安全威脅在這些系統(tǒng)移植到虛擬機(jī)的時(shí)候仍然存在。向數(shù)據(jù)中心的虛擬機(jī)遷移需要重新設(shè)計(jì)安全計(jì)劃和架構(gòu)，可能引起的潛在問題包括：事件反應(yīng)、虛擬調(diào)試虛擬操作系統(tǒng)和虛擬軟交換機(jī)、熟悉隔離區(qū)和設(shè)計(jì)。在向虛擬機(jī)遷移的安全計(jì)劃中要考慮上述所有的因素。

為了解決把虛擬化引進(jìn)到數(shù)據(jù)中心所產(chǎn)生的安全問題，出現(xiàn)了一個(gè)更大的技術(shù)行業(yè)：虛擬化安全(virtsec)。IT面臨的挑戰(zhàn)之一是理解“虛擬化安全是什么?我如何應(yīng)用虛擬化安全?”

三種虛擬化安全類型

1.當(dāng)引進(jìn)新的虛擬化技術(shù)時(shí)，數(shù)據(jù)中心增加了新的安全風(fēng)險(xiǎn)，例如，在一個(gè)管理管理程序中運(yùn)行多個(gè)虛擬機(jī)的風(fēng)險(xiǎn)。

2.虛擬機(jī)鏡像和客戶操作系統(tǒng)的安全。

3.物理安全設(shè)備的虛擬實(shí)例，例如，從一個(gè)物理防火墻和入侵防御系統(tǒng)進(jìn)入運(yùn)行同樣的服務(wù)的虛擬鏡像。

虛擬安全市場(chǎng)正在迅速解決與客戶虛擬機(jī)有關(guān)的安全問題，例如，補(bǔ)丁管理和檢查同一臺(tái)主機(jī)和軟交換機(jī)上的虛擬機(jī)之間的網(wǎng)絡(luò)通訊，直接在虛擬客戶機(jī)上應(yīng)用這些安全技術(shù)。事實(shí)上，虛擬化安全實(shí)施最大的推動(dòng)因素之一是推出了在虛擬平臺(tái)基礎(chǔ)設(shè)施上運(yùn)行的殺毒和防火墻虛擬機(jī)。然而，與虛擬平臺(tái)本身有關(guān)的風(fēng)險(xiǎn)仍然是不清楚的，因?yàn)槟壳皩?duì)于內(nèi)部管理程序和平臺(tái)安全還沒有大量的解決方案。雖然從戰(zhàn)術(shù)方面看管理程序是數(shù)據(jù)中心中最不容易被利用的部分，但是，從戰(zhàn)略上看，管理程序是虛擬數(shù)據(jù)中心最誘人的攻擊目標(biāo)，因?yàn)楣テ七@一點(diǎn)就可以訪問數(shù)據(jù)中心的多個(gè)虛擬系統(tǒng)(如果不是全部的話)。

虛擬化安全策略

管理虛擬安全問題：現(xiàn)在開始規(guī)劃

企業(yè)IT部門現(xiàn)在應(yīng)該做的事情是保護(hù)自己不受當(dāng)前和未來的虛擬化安全威脅嗎?首先，也是最重要的，企業(yè)應(yīng)該分析自己使用的虛擬平臺(tái)的具體風(fēng)險(xiǎn)。重要的是要知道這個(gè)架構(gòu)的變化如何影響到現(xiàn)有的安全管理系統(tǒng)。企業(yè)IT部門在向虛擬機(jī)遷移或者應(yīng)用虛擬機(jī)之前還應(yīng)該制定戰(zhàn)術(shù)的和戰(zhàn)略的安全計(jì)劃。這些安全計(jì)劃是通過對(duì)現(xiàn)有的虛擬安全進(jìn)行綜合分析實(shí)現(xiàn)的，同時(shí)還要計(jì)劃應(yīng)付虛擬平臺(tái)的未來的安全威脅。規(guī)劃以及當(dāng)前架構(gòu)和安全管理中的小的變化有助于防御未來的管理程序和平臺(tái)級(jí)的虛擬化攻擊。

總的來說，作為整個(gè)虛擬化安全架構(gòu)的一部分，IT部門應(yīng)該把重點(diǎn)放在三個(gè)虛擬化方面：

1.按照位置分開虛擬機(jī)

2.按照服務(wù)類型分開虛擬機(jī)

3.在整個(gè)虛擬機(jī)生命周期內(nèi)實(shí)施有預(yù)見性的安全管理

這三個(gè)方面將幫助IT部門保護(hù)其虛擬基礎(chǔ)設(shè)施抵御當(dāng)前的威脅，并且?guī)椭鶬T部門緩解未來的攻擊威脅。