全面監(jiān)測 保障虛擬服務器安全

申請免費試用、咨詢電話：400-8352-114

服務器虛擬化技術是構成未來新一代企業(yè)數(shù)據(jù)中心的重要元素之一，IT硬件性能效能的突飛猛進，使得在一臺服務器上同時執(zhí)行多個操作系統(tǒng)、提供服務成為可能。然而，在整個環(huán)境向虛擬化環(huán)境移轉的過程中，有許多安全上的問題也會隨之產(chǎn)生，稍有不慎就會造成危害，而影響到日常的營運。

許多人認為“虛擬化是物理環(huán)境的應用延伸，對于虛擬機的安全防護只需要采用現(xiàn)有的做法管理即可……”，這個觀點從某些方面來說是正確的，但實際上物理機和物理機之間仍有著諸多差異之處，如果未能及時正視這些差異，就有可能因此產(chǎn)生安全問題。

網(wǎng)絡架構因虛擬化而產(chǎn)生質(zhì)變

網(wǎng)絡架構是服務器虛擬化的過程中，變動最大的一環(huán)，也是最有可能產(chǎn)生安全問題的關鍵所在。尚未移轉到虛擬化之前，企業(yè)可以在前端的防火墻設備上訂立出多個非軍事區(qū)(Demilitarized Zone，DMZ)，針對不同功能的服務器個別套用合適的存取規(guī)則進行管理，假使日后有服務器不幸遭到攻擊，危害通常也僅局限在單一個DMZ區(qū)之內(nèi)，不容易對于所有運作中的服務器都造成影響。

虛擬化之后，所有的虛擬機器很可能就集中連接到同一臺虛擬交換器(如VMware ESX/ESXi，微軟的Hyper-V)，或者經(jīng)由“虛擬──實體”網(wǎng)卡之間的橋接(如VMware Server/Workstation，微軟的Virtual Server/PC)，與外部網(wǎng)絡進行通訊。在這種架構之下，原本可以透過防火墻采取阻隔的防護就會消失不見，Check Point臺灣區(qū)技術顧問陳建宏就表示，屆時只要一臺虛擬機器發(fā)生問題，安全威脅就可以透過網(wǎng)絡散布到其它的虛擬機器。

要解決上述問題的最簡單做法，就是在每一臺虛擬機器上都安裝防毒軟件，以及其它種類的資安產(chǎn)品。不過如此一來，卻又可能衍生出一些管理上的疑慮，例如應用程序與資安產(chǎn)品之間的兼容性問題即同樣可能在虛擬機器的環(huán)境下發(fā)生。

此外，虛擬機器安裝資安產(chǎn)品后的運作效能，也值得企業(yè)加以注意，過去在一臺實體主機上安裝防毒軟件，幾十MB的內(nèi)存使用量不會是太大的問題，但是在虛擬化的環(huán)境下，多臺虛擬機器累積下來，就可能占用到相當可觀的硬件資源，因此需要尋求其它做法加以因應解決，才能做好虛擬平臺上的安全控管。

服務器虛擬化之后，所有的虛擬機器的網(wǎng)絡卡，預設會連接在同一臺虛擬交換器上運作，無形之間產(chǎn)生安全問題。

從虛擬層下手攔截安全威脅

虛擬化平臺的廠商已經(jīng)提出一套作法，像VMware在今年2月宣布釋出VMsafe的API技術，就引發(fā)很大的關注，這么一來，能夠讓資安廠商能夠開發(fā)與VMware ESX/ESXi半虛擬化平臺相整合的資安產(chǎn)品，以便解決前面所提到的這些問題。

VMsafe的運作架構相當簡單，相當于我們在每一臺虛擬機器前面放置一臺安全檢查設備，去過濾進出這些虛擬機器的所有流量，于是虛擬機器就不需要安裝任何的軟件便能得到保護，因此可以省下不少的硬件資源，而實際上，資安產(chǎn)品僅是安裝在VMware ESX/ESXi平臺之上的一臺虛擬機器而己。

其實早在2002年，國外就有人提出過相同的概念，希望結合入侵偵測防御(Intrusion Prevention System，IPS)的技術，保護虛擬機器不受破壞。

從VMware公開的架構圖來看，VMsafe是一個介于虛擬機器與Hypervisor之間的虛擬層，但其實，VMsafe的一部份組件是內(nèi)建于Hypervisor，其它則是寄生于廠商基于這項技術所開發(fā)的資安產(chǎn)品，值得注意的是，并非所有的VMware ESX/ESXi版本都有支持這項技術，只有3.0版本以上的VMware ESX/ESXi才有將VMsafe的組件內(nèi)建其中。

利用VMsafe，除了能夠檢查網(wǎng)絡流量當中可能存在的安全威脅之外，資安廠商可以收集到關于虛擬機器的硬件參數(shù)，做為安全管理上的參考依據(jù)。關于這點，趨勢科技技術經(jīng)理戴燊從資安廠商的角度來看，他認為，VMsafe目前所能收集到的信息太過于底層，約略等于透過主機板BIOS所能看到的層級而己，因此很難加以有效運用，其它與VMware合作的資安廠商也應該發(fā)現(xiàn)到了這項不足之處，目前趨勢正與VMware進行進一步的討論，希望在未來能夠利用這項技術收集到更多的信息。

相關產(chǎn)品已有企業(yè)實際導入

目前采用VMsafe技術的資安產(chǎn)品并不多見，許多仍處于開發(fā)，或者是測試中的階段。Check Point所推出的VPN-1 VE(Virtual Edition)防火墻就是最早出現(xiàn)在市面上的產(chǎn)品之一，目的是隔離不必要的網(wǎng)絡聯(lián)機進入虛擬機器內(nèi)部，造成安全問題。

另外，趨勢預計在今年第4季推出一款，同樣是整合VMsafe技術的資安產(chǎn)品──Total Discovery Virtual Appliance(TDVA)，它是實體設備Total Discovery的虛擬化版本，就功能來說，主要是用來抑制惡意程序在虛擬化的作業(yè)平臺上活動，產(chǎn)品目前已經(jīng)開發(fā)完畢，等到通過VMware官方的兼容性驗證之后就會開始銷售。

賽門鐵克在今年9月在美國拉斯韋加斯舉行的VMworld大會當中，展示了一款采用VMsafe技術所開發(fā)的防毒墻原型，它在虛擬機器沒有安裝防毒軟件的情況下，能夠檢查進出流量當中是否含有惡意程序。

除了上述產(chǎn)品之外，類似的產(chǎn)品還包括了Reflex Security的VSA(Virtual Security Appliance)，這是一款可以安裝在VMware ESX/ESXi，以及Citrix XenServer平臺的IPS產(chǎn)品，早在2005年的時候就已經(jīng)有產(chǎn)品推出。

從架構上來看，VSA主要是把透過監(jiān)聽流量為主的旁路模式，以及兼具流量過濾、檢測的透通模式保護虛擬機器的運作安全。以透通模式來說，探測器(Sensor)必須設置于受到保護的虛擬機器前方才能正常運作。

在ESX的平臺之上，至少需要設置兩臺的虛擬交換器，其中一臺連接外部的實體網(wǎng)絡，另外一臺交換器則放置于后端，提供給虛擬機器聯(lián)機之用，并與前端的交換器之間形成橋接，探測器就位于兩者之間，目的是為了檢測來往于兩臺交換器之間的網(wǎng)絡聯(lián)機是否異常。

唯有經(jīng)過檢測，確認安全無虞的網(wǎng)絡流量才能與虛擬機器進行聯(lián)機，同樣地，虛擬機器所發(fā)出的流量也必須經(jīng)過VSA的檢查之后，才能經(jīng)由前端的虛擬交換器傳送到實體網(wǎng)絡。

Reflex亞太市場暨銷售總監(jiān)黃彥鈞表示，目前這款產(chǎn)品在臺灣已經(jīng)有實際的導入案例，一家位于園區(qū)的高科技業(yè)者，隨著去年購買IPS設備的機會，同時也采購了好幾套的VSA。

黃彥鈞指出，一般企業(yè)在建置IPS設備的時候，大多會放置在進出流量必經(jīng)的網(wǎng)絡骨干上，防止來自于外部網(wǎng)絡的惡意聯(lián)機攻擊內(nèi)部主機，不過隨著近年來內(nèi)部攻擊事件的大量增加，許多企業(yè)也開始在內(nèi)部放置IPS，主要是用來保護DMZ區(qū)的服務器不受來自于內(nèi)部惡意攻擊所影響，而這家不具名的企業(yè)就是其中之一。

微軟本身也是虛擬化技術的主要供貨商之一，隨著Hyper-V服務器的推出，據(jù)了解，某些資安廠商也會隨之推出相關的虛擬化安全產(chǎn)品，同樣將整合Hyper-V的Hypervisor提供保護。（IT專家網(wǎng)）