跨平臺虛擬安全提高服務(wù)器虛擬化價值

申請免費試用、咨詢電話：400-8352-114

盡管服務(wù)器虛擬化可以提高運作效率和管理靈活性、降低總擁有成本，但同時它也會提高安全風(fēng)險。

據(jù)市場調(diào)查公司Gartner稱，到2009年60%的虛擬機(jī)要比物理服務(wù)器安全性更低。我們將面臨的安全挑戰(zhàn)包括：

·IP地址依賴性：在一個虛擬化環(huán)境中，IP地址通常會在虛擬機(jī)創(chuàng)建、淘汰或者從一臺主機(jī)遷移到另一臺主機(jī)的過程中發(fā)生改變，這就導(dǎo)致了傳統(tǒng)保護(hù)機(jī)制暴露出一些問題。

·虛擬機(jī)蔓延：虛擬機(jī)很容易從已經(jīng)存在的鏡像中創(chuàng)建，這往往會引入大量沒有適當(dāng)維護(hù)或者基于那些已經(jīng)存在一些漏洞的虛擬機(jī)。如果入侵者能夠成功攻擊一個有漏洞的虛擬機(jī)，那么他就可以以此作為平臺繼續(xù)入侵其他虛擬機(jī)。

·無法監(jiān)控內(nèi)部主機(jī)傳輸：服務(wù)器虛擬化引入了一種“軟交換”的理念，讓虛擬機(jī)可以在一臺主機(jī)內(nèi)進(jìn)行通信。這就需要專門的工具來監(jiān)控和保護(hù)這些通信，而且用戶可選擇的技術(shù)和工具也是非常有限的。

·安全策略的混亂：遺憾的是，許多安全廠商使用了一種混亂的安全策略，推薦有不同管理要求的解決方案。Gartner分析師Neil MacDonald在最近一次采訪中表示：“虛擬化環(huán)境中最大的安全問題可能會通過錯誤管理、錯誤運行或者長期存在的錯誤引入近來。我們在物理環(huán)境中使用不同的工具，而在虛擬環(huán)境下則把存在的問題都集中到一起了?！?/P>

既然我們必須解決這些挑戰(zhàn)來利用服務(wù)器虛擬化的諸多好處，那么我們就需要一個全新的方法，一種可以確保物理環(huán)境和虛擬環(huán)境安全性的跨平臺解決方案。跨平臺虛擬安全工具可以幫助企業(yè)機(jī)構(gòu)在數(shù)據(jù)中心動態(tài)地制訂安全策略。

跨平臺虛擬安全工具的管理平臺應(yīng)該可以在網(wǎng)絡(luò)中的任何位置進(jìn)行配置，應(yīng)該提供認(rèn)證授權(quán)來實現(xiàn)最大程度的靈活性。這些跨平臺虛擬安全工具通常將詳細(xì)的日志數(shù)據(jù)寫入系統(tǒng)日志以及Windows事件日志中，這就簡化了在現(xiàn)有管理控制下集成工具的工作。

消除了IP地址對安全策略的依賴性，跨平臺虛擬安全確保了這些策略被強(qiáng)制執(zhí)行，不管地址或者設(shè)備平臺在哪。安全管理員可以消除與規(guī)則改變相關(guān)的運作成本。實際上，策略被強(qiáng)制執(zhí)行并且應(yīng)用到不同的情況下，包括：

·當(dāng)物理服務(wù)器和終端設(shè)備被遷移到網(wǎng)絡(luò)中不同的位置

·物理服務(wù)器和終端設(shè)備轉(zhuǎn)移到虛擬機(jī)上

·虛擬機(jī)實時或者離線地從一臺物理主機(jī)遷移到另一臺物理主機(jī)上

跨平臺虛擬安全策略將物理服務(wù)器和虛擬機(jī)放置到邏輯安全區(qū)域，通過確保非法虛擬機(jī)不會成為其中一員或者不能與安全區(qū)域進(jìn)行通信來防止虛擬機(jī)蔓延。通過通過控制對每個區(qū)域的訪問路徑，對虛擬機(jī)表面區(qū)域的攻擊已經(jīng)大大減少了。

跨平臺方法通常是基于分布式、對等架構(gòu)的，這樣可以擴(kuò)展到成百上千個實例。大范圍完成策略管理，只要點擊幾下鼠標(biāo)就可以升級部分或者所有終端策略。

其他的好處還包括：

·消除數(shù)據(jù)中心安全的混合策略所導(dǎo)致的管理復(fù)雜性，通過一個平臺保護(hù)所有主機(jī)的安全。

·不需要重新架構(gòu)整個網(wǎng)絡(luò)就可以滿足日常的法規(guī)遵從要求

·避免了與防火墻和虛擬LAN相關(guān)的運作成本

·通過采用分布式架構(gòu)來消除瓶頸和單點故障

當(dāng)評估一個跨平臺虛擬安全解決方案的時候，考慮以下這些需求：

·跨平臺支持（虛擬和物理）：理想的解決方案應(yīng)該支持虛擬環(huán)境中常見的x86操作系統(tǒng)，以及其他常見或者不常見的架構(gòu)，例如Solaris、AIX、HP-UX、Red Hat、Windows以及基于IP的非服務(wù)器設(shè)備。

·不依賴于IP地址：理想的解決方案應(yīng)該不考慮計算機(jī)的IP地址強(qiáng)制執(zhí)行安全策略，確保在遷移或者發(fā)生物理運動的時候保留安全策略。

·在同一個物理主機(jī)上隔離虛擬機(jī)：為了保護(hù)虛擬機(jī)不會因為發(fā)生虛擬機(jī)蔓延而引入漏洞，理想的解決方案應(yīng)該能夠在同一個主機(jī)上將虛擬機(jī)隔離開來。

·易于擴(kuò)展：在不引入瓶頸的同時支持增長，尋找那些可以運行在分布式架構(gòu)中的解決方案。

·選擇性加密：選擇一套提供基于策略的選擇性（而不是非全有即全無的）加密功能的解決方案來實現(xiàn)性能或者保護(hù)的最大化。

·集中化管理：利用管理效率的優(yōu)勢選擇一套提供了單點安全管理的解決方案。

·基于主機(jī)的執(zhí)行：為了實現(xiàn)安全策略相關(guān)的最大顆粒度和移動性，選擇一套可以在主機(jī)上強(qiáng)制執(zhí)行策略的解決方案。

·架構(gòu)和應(yīng)用的透明性：為了將配置時間和兼容性問題降至最低，理想的解決方案應(yīng)該具備網(wǎng)絡(luò)和應(yīng)用的透明度。

·強(qiáng)大的活動和審核記錄功能：理想的解決方案應(yīng)該詳細(xì)記錄活動數(shù)據(jù)，并且針對服務(wù)器、終端設(shè)備以及管理平臺創(chuàng)建一個審核索引。

·基于證書的認(rèn)證：選擇一臺采用X.509 v3證書的解決方案。

不可否認(rèn)，服務(wù)器虛擬化具有很多運作和經(jīng)濟(jì)優(yōu)勢?？缙脚_虛擬安全消除了服務(wù)器虛擬化和強(qiáng)大安全性之間的差距，創(chuàng)建了一個應(yīng)用于物理數(shù)據(jù)中心和虛擬數(shù)據(jù)中心的邏輯安全模式，同時保證虛擬機(jī)的遷移。簡而言之，跨平臺虛擬安全策略讓企業(yè)機(jī)構(gòu)可以完全轉(zhuǎn)換到服務(wù)器虛擬化，同時簡化安全策略的執(zhí)行。（ZDNet）