跨平臺(tái)虛擬安全提高服務(wù)器虛擬化價(jià)值

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

盡管服務(wù)器虛擬化可以提高運(yùn)作效率和管理靈活性、降低總擁有成本，但同時(shí)它也會(huì)提高安全風(fēng)險(xiǎn)。

據(jù)市場(chǎng)調(diào)查公司Gartner稱(chēng)，到2009年60%的虛擬機(jī)要比物理服務(wù)器安全性更低。我們將面臨的安全挑戰(zhàn)包括：

·IP地址依賴(lài)性：在一個(gè)虛擬化環(huán)境中，IP地址通常會(huì)在虛擬機(jī)創(chuàng)建、淘汰或者從一臺(tái)主機(jī)遷移到另一臺(tái)主機(jī)的過(guò)程中發(fā)生改變，這就導(dǎo)致了傳統(tǒng)保護(hù)機(jī)制暴露出一些問(wèn)題。

·虛擬機(jī)蔓延：虛擬機(jī)很容易從已經(jīng)存在的鏡像中創(chuàng)建，這往往會(huì)引入大量沒(méi)有適當(dāng)維護(hù)或者基于那些已經(jīng)存在一些漏洞的虛擬機(jī)。如果入侵者能夠成功攻擊一個(gè)有漏洞的虛擬機(jī)，那么他就可以以此作為平臺(tái)繼續(xù)入侵其他虛擬機(jī)。

·無(wú)法監(jiān)控內(nèi)部主機(jī)傳輸：服務(wù)器虛擬化引入了一種“軟交換”的理念，讓虛擬機(jī)可以在一臺(tái)主機(jī)內(nèi)進(jìn)行通信。這就需要專(zhuān)門(mén)的工具來(lái)監(jiān)控和保護(hù)這些通信，而且用戶(hù)可選擇的技術(shù)和工具也是非常有限的。

·安全策略的混亂：遺憾的是，許多安全廠商使用了一種混亂的安全策略，推薦有不同管理要求的解決方案。Gartner分析師Neil MacDonald在最近一次采訪中表示：“虛擬化環(huán)境中最大的安全問(wèn)題可能會(huì)通過(guò)錯(cuò)誤管理、錯(cuò)誤運(yùn)行或者長(zhǎng)期存在的錯(cuò)誤引入近來(lái)。我們?cè)谖锢憝h(huán)境中使用不同的工具，而在虛擬環(huán)境下則把存在的問(wèn)題都集中到一起了?！?/P>

既然我們必須解決這些挑戰(zhàn)來(lái)利用服務(wù)器虛擬化的諸多好處，那么我們就需要一個(gè)全新的方法，一種可以確保物理環(huán)境和虛擬環(huán)境安全性的跨平臺(tái)解決方案?？缙脚_(tái)虛擬安全工具可以幫助企業(yè)機(jī)構(gòu)在數(shù)據(jù)中心動(dòng)態(tài)地制訂安全策略。

跨平臺(tái)虛擬安全工具的管理平臺(tái)應(yīng)該可以在網(wǎng)絡(luò)中的任何位置進(jìn)行配置，應(yīng)該提供認(rèn)證授權(quán)來(lái)實(shí)現(xiàn)最大程度的靈活性。這些跨平臺(tái)虛擬安全工具通常將詳細(xì)的日志數(shù)據(jù)寫(xiě)入系統(tǒng)日志以及Windows事件日志中，這就簡(jiǎn)化了在現(xiàn)有管理控制下集成工具的工作。

消除了IP地址對(duì)安全策略的依賴(lài)性，跨平臺(tái)虛擬安全確保了這些策略被強(qiáng)制執(zhí)行，不管地址或者設(shè)備平臺(tái)在哪。安全管理員可以消除與規(guī)則改變相關(guān)的運(yùn)作成本。實(shí)際上，策略被強(qiáng)制執(zhí)行并且應(yīng)用到不同的情況下，包括：

·當(dāng)物理服務(wù)器和終端設(shè)備被遷移到網(wǎng)絡(luò)中不同的位置

·物理服務(wù)器和終端設(shè)備轉(zhuǎn)移到虛擬機(jī)上

·虛擬機(jī)實(shí)時(shí)或者離線地從一臺(tái)物理主機(jī)遷移到另一臺(tái)物理主機(jī)上

跨平臺(tái)虛擬安全策略將物理服務(wù)器和虛擬機(jī)放置到邏輯安全區(qū)域，通過(guò)確保非法虛擬機(jī)不會(huì)成為其中一員或者不能與安全區(qū)域進(jìn)行通信來(lái)防止虛擬機(jī)蔓延。通過(guò)通過(guò)控制對(duì)每個(gè)區(qū)域的訪問(wèn)路徑，對(duì)虛擬機(jī)表面區(qū)域的攻擊已經(jīng)大大減少了。

跨平臺(tái)方法通常是基于分布式、對(duì)等架構(gòu)的，這樣可以擴(kuò)展到成百上千個(gè)實(shí)例。大范圍完成策略管理，只要點(diǎn)擊幾下鼠標(biāo)就可以升級(jí)部分或者所有終端策略。

其他的好處還包括：

·消除數(shù)據(jù)中心安全的混合策略所導(dǎo)致的管理復(fù)雜性，通過(guò)一個(gè)平臺(tái)保護(hù)所有主機(jī)的安全。

·不需要重新架構(gòu)整個(gè)網(wǎng)絡(luò)就可以滿(mǎn)足日常的法規(guī)遵從要求

·避免了與防火墻和虛擬LAN相關(guān)的運(yùn)作成本

·通過(guò)采用分布式架構(gòu)來(lái)消除瓶頸和單點(diǎn)故障

當(dāng)評(píng)估一個(gè)跨平臺(tái)虛擬安全解決方案的時(shí)候，考慮以下這些需求：

·跨平臺(tái)支持（虛擬和物理）：理想的解決方案應(yīng)該支持虛擬環(huán)境中常見(jiàn)的x86操作系統(tǒng)，以及其他常見(jiàn)或者不常見(jiàn)的架構(gòu)，例如Solaris、AIX、HP-UX、Red Hat、Windows以及基于IP的非服務(wù)器設(shè)備。

·不依賴(lài)于IP地址：理想的解決方案應(yīng)該不考慮計(jì)算機(jī)的IP地址強(qiáng)制執(zhí)行安全策略，確保在遷移或者發(fā)生物理運(yùn)動(dòng)的時(shí)候保留安全策略。

·在同一個(gè)物理主機(jī)上隔離虛擬機(jī)：為了保護(hù)虛擬機(jī)不會(huì)因?yàn)榘l(fā)生虛擬機(jī)蔓延而引入漏洞，理想的解決方案應(yīng)該能夠在同一個(gè)主機(jī)上將虛擬機(jī)隔離開(kāi)來(lái)。

·易于擴(kuò)展：在不引入瓶頸的同時(shí)支持增長(zhǎng)，尋找那些可以運(yùn)行在分布式架構(gòu)中的解決方案。

·選擇性加密：選擇一套提供基于策略的選擇性（而不是非全有即全無(wú)的）加密功能的解決方案來(lái)實(shí)現(xiàn)性能或者保護(hù)的最大化。

·集中化管理：利用管理效率的優(yōu)勢(shì)選擇一套提供了單點(diǎn)安全管理的解決方案。

·基于主機(jī)的執(zhí)行：為了實(shí)現(xiàn)安全策略相關(guān)的最大顆粒度和移動(dòng)性，選擇一套可以在主機(jī)上強(qiáng)制執(zhí)行策略的解決方案。

·架構(gòu)和應(yīng)用的透明性：為了將配置時(shí)間和兼容性問(wèn)題降至最低，理想的解決方案應(yīng)該具備網(wǎng)絡(luò)和應(yīng)用的透明度。

·強(qiáng)大的活動(dòng)和審核記錄功能：理想的解決方案應(yīng)該詳細(xì)記錄活動(dòng)數(shù)據(jù)，并且針對(duì)服務(wù)器、終端設(shè)備以及管理平臺(tái)創(chuàng)建一個(gè)審核索引。

·基于證書(shū)的認(rèn)證：選擇一臺(tái)采用X.509 v3證書(shū)的解決方案。

不可否認(rèn)，服務(wù)器虛擬化具有很多運(yùn)作和經(jīng)濟(jì)優(yōu)勢(shì)?？缙脚_(tái)虛擬安全消除了服務(wù)器虛擬化和強(qiáng)大安全性之間的差距，創(chuàng)建了一個(gè)應(yīng)用于物理數(shù)據(jù)中心和虛擬數(shù)據(jù)中心的邏輯安全模式，同時(shí)保證虛擬機(jī)的遷移。簡(jiǎn)而言之，跨平臺(tái)虛擬安全策略讓企業(yè)機(jī)構(gòu)可以完全轉(zhuǎn)換到服務(wù)器虛擬化，同時(shí)簡(jiǎn)化安全策略的執(zhí)行。（ZDNet）