分析：虛擬化的安全到底怎么樣

申請免費試用、咨詢電話：400-8352-114

現在有些IT管理員把擁有多路網絡連接的系統(tǒng)放在非軍事區(qū)(DMZ)里面。關鍵是如何保護起來。

外頭有不少IT管理員以為：只要部署了虛擬服務器，虛擬機就能萬無一失，可以遠離諸多安全漏洞和惡意攻擊。但是據Edward L. Haletky這樣的虛擬化安全專家認為，IT管理人員會驚奇地發(fā)現：為了保護虛擬基礎架構，他們付出的努力卻要大得多。

Haletky創(chuàng)辦了AstroArch咨詢公司，目前還在撰寫有關虛擬化安全的一本書。他說：“眼下與虛擬化有關的最大的安全問題就是，很多人不知道自己在做什么。虛擬化管理員不是安全管理員。他們不可能是安全管理員，因為有太多東西需要學習。虛擬化管理員也不是存儲經理，他們也要明白這一點?！?/P>

盡管虛擬化技術并不是天生容易受到攻擊，但是虛擬化管理員和安全管理員在接受的安全教育方面之間有著巨大差異，這常常導致部署的虛擬服務器不安全。外面的大多數虛擬化安全專家(目前這樣的專家為數很少)建議，虛擬化管理員最好接受安全教育，設法為虛擬機實施合適的策略和審計措施，并且確保虛擬機上的功能和內容劃分到彼此隔離的操作環(huán)境中。

隔離虛擬機

據Haletky聲稱，虛擬化管理員需要擔心這四種網絡：管理網絡、存儲網絡、虛擬機網絡以及VMotion網絡。他表示，如果虛擬化管理員不隔離這些網絡，就有可能出現一些最大的安全漏洞。

他說：“有些管理員把所有這四種網絡全部放在非軍事區(qū)(DMZ)里面――DMZ是指公司網絡上的暴露部分，里面可能含有Web及其他網絡服務器，而實際上只有一種網絡需要放在DMZ里面?！盚aletky表示，有一些明確的規(guī)則表明了IT人員在DMZ里面可以進行哪些操作――一條首要的規(guī)則就是，對擁有多路網絡連接的系統(tǒng)進行控制。他表示，這條規(guī)則同樣適用于虛擬服務器;他建議IT管理員讓虛擬服務器盡可能遠離DMZ。

IDC加拿大公司的安全和軟件調研主任David Senf同意這個觀點。他說：“比方說，為了避免把不同的安全策略混同起來、防止出現權限提高之類的問題，有些IT部門不允許DMZ里面的虛擬機會話駐留在DMZ后面的主機上。”

信息技術研究集團的高級研究分析師John Sloan表示，管理員可以把虛擬機歸類到一起、放在特定的安全區(qū)域，從而使用網絡隔離機制。他解釋說：“你可以把一些機器與其他機器分立出來，隨后賦予不同的安全級別?！?/P>

Sloan還建議：如果管理員使用實時遷移功能(指把運行中的虛擬機從一臺物理服務器遷移到另一臺物理服務器上的功能，從而可以優(yōu)化性能、縮短停機時間)，就要小心這項功能對安全帶來的影響。

他說：“有些情況下，服務器可能需要更高的安全級別，但是它們可能會出于提高性能、而不是提高安全的原因而動態(tài)遷移到其他設備上。所以，這進一步增添了復雜性，因為你還不得不關注如何對物理服務器進行分區(qū)，還要確保：即便使用了實時遷移，‘類似’的服務器仍一起駐留在同樣的平臺上。”

解決方案提供商正在努力滿足公司企業(yè)在安全、隔離的環(huán)境中運行工作任務的需要，Tresys Technology就是這樣一家提供商。該公司的旗艦產品VM Fortress致力于確保桌面虛擬化安全，讓虛擬化管理員可以通過把虛擬機限制在沙箱(sandbox)里面的辦法來控制虛擬機。

Tresys公司的技術工程主管Karl MacMillan說：“如果你的虛擬機不但要連接到另一個公司網絡，還要連接到控制核電站的一個網絡，你就要確保這兩個網絡隔離開來。一項最緊迫的安全要求就是，確保虛擬化軟件本身存在的漏洞讓來賓虛擬機無法對網絡系統(tǒng)造成破壞、可能闖入及訪問其他來賓操作系統(tǒng)?！?/P>

由于沙箱可以把擁有同樣訪問權的虛擬機歸類到一起，你就能對每個虛擬機上的每個應用程序進行隔離。他說，這有望確保你的人力資源應用程序不會受到Web瀏覽器的影響。

MacMillan說：“這么做的優(yōu)點在于，你既可以利用創(chuàng)建更多虛擬機的功能，又能獲得強有力的隔離機制。但是由于虛擬機數量激增，你還要確保所有這些操作系統(tǒng)的安全。你要對它們進行更新、打補丁，還要進行全面跟蹤?！?/P>

管理虛擬機散亂現象

據信息技術研究集團的Sloan聲稱，使用虛擬機的其中一個最大好處就是，虛擬機與底層硬件更加隔離開來。他說：“如果虛擬機受到了病毒感染，或者遭到了某種方式的惡意攻擊，造成的危害可以減小到最低程度，因為很容易隔絕這個虛擬機，并且終止運行?！?/P>

Sloan表示，但是盡管虛擬機本身可能更具有彈性，但是安全監(jiān)控和管理工作對運行關鍵任務的虛擬機來說仍必不可少。他說：“從總體上來看，管理就應當這樣;如果你沒有為虛擬機落實相應的策略或者程序，就會面臨更大的風險。你一定要有足夠完善的安全管理，才能跟蹤及管理虛擬機?！?/P>

現在大多數人都會認同這一點：很難闖入物理數據中心、竊取大批數據。但是你有沒有想過這一幕：攻擊者不用步入你的數據中心，只要創(chuàng)建虛擬機，就可以用它來訪問敏感數據?Haletky說，很可能你不會知道發(fā)生了這種事。

他說：“如果你采用虛擬化技術，安全性并沒有因此而增強，實際上反而減弱了。另一個重要原因就是你現在面臨虛擬機散亂(VM sprawl)現象。”

今年年初Verizon Business公司撰寫的一份最新報告發(fā)現，27%的攻擊來自意料之外的系統(tǒng)連接;10%來自以不合適的權限訪問系統(tǒng)。

“管理員不知道有機器存在，”Haletky說，“有了虛擬化技術，新的虛擬機極其容易部署到環(huán)境里面;如果不加以控制、治理或者核實，那么這種容易部署虛擬機的優(yōu)點反而會帶來安全問題?！?/P>

Haletky表示，除非公司落實了合適的審計機制，否則要是有人未經授權在公司網絡上創(chuàng)建虛擬機，數據中心就會繼續(xù)容易受到這些公司不知道存在的虛擬機的攻擊。他表示，IT管理員的解決辦法就是，采用某一種工作流審批流程，對系統(tǒng)進行監(jiān)控及審計。

Haletky說：“目前，虛擬化安全離不開一大批審計機制;你需要審計、需要獲得報告，還需要接到通知。如果你在這些方面都做得很到位，就完全具有領先優(yōu)勢?！辈贿^強大審計機制面臨的最大障礙卻是這個事實：目前市面上還沒有一款優(yōu)秀的工具。

Haletky說：“現在其實沒有工具可以告訴你已經添加了一個新的虛擬機，你得自己去查看。如果使用VMware ESXi，你可以在虛擬機運行的時候接到報警;還能收到反映這個情況的電子郵件。但是你其實得不到表明虛擬機在做什么的任何信息?！?/P>

Haletky說，要關注的不僅僅是網絡安全。如今現有的三大安全監(jiān)控指導原則(包括VMware、CISecurity和DISA/STIG的指導原則)都不是太深入，沒有為期望把ESX服務器審計和監(jiān)控機制付諸實踐的用戶提供啟動腳本。他表示，這些指導原則概述了需要審計的部分內容，但遠遠不夠全面。

據Haletky聲稱，另一個固有的問題就是，大多數虛擬化管理員完全從網絡的角度來看待虛擬安全。Haletky說：“保護虛擬環(huán)境不僅僅包括服務控制臺、管理設備和網絡;還包括存儲、備份、災難恢復和業(yè)務連續(xù)性等方面，它幾乎包括每個方面，而每個特定方面都有相應工具。”

他又說，虛擬機的攻擊面變得越來越大，全人們根本沒有認識到這一點?！鞍烟摂M機放在虛擬服務器里面――不管你使用的是哪家廠商的技術，這并不會為你帶來足夠的保護。網絡安全對你大有幫助，但我不敢肯定光有網絡安全就夠了?！?/P>

如果你找不到或者請不起虛擬化安全專家來幫你入手，專家們建議公司只要找一名了解虛擬化技術的安全技術人員。對大多數公司來說，這歸結為先進行風險分析，然后最終確定自己需要哪種監(jiān)控流程。

他說：“如果你看一看外面針對虛擬服務器應用部署的許多設計方案，就會發(fā)現設計方案中根本沒有提到安全。他們說，我們要部署虛擬化技術;我們要節(jié)省成本、減少散熱，但他們就是沒有說我們要確保安全?！?比特網)