虛擬化應(yīng)用安全盲點：網(wǎng)絡(luò)流量控制

申請免費試用、咨詢電話：400-8352-114

隨著企業(yè)通過部署虛擬化成功的縮減了采購和維護物理服務(wù)器的成本，虛擬化的應(yīng)用日益成為企業(yè)關(guān)注的寵兒，但這是否會為系統(tǒng)埋下易受攻擊的隱患呢?很有可能。企業(yè)虛擬化的努力不只是簡單的對服務(wù)器和應(yīng)用軟件進行整合來減少數(shù)據(jù)中心物理機的數(shù)量，還要對可能面臨的風(fēng)險予以足夠的重視。這種風(fēng)險不僅存在于管理程序或者虛擬化軟件本身，而且還會對傳統(tǒng)網(wǎng)絡(luò)和安全控制產(chǎn)生影響。

缺少關(guān)注的軟肋

虛擬化軟件即管理程序與其他類型的應(yīng)用程序是不同的，它有著自身的缺陷和安全漏洞。管理程序的這種風(fēng)險就是所謂的"hyperjacking"，一旦入侵得逞就會危及管理程序的安全，入侵者就會肆無忌憚的訪問物理服務(wù)器上的所有虛擬機。這是非常危險的，因為一臺主機上可能運行著大量的虛擬機。

危及主機的連帶后果將是非?？膳碌模ǔ４蠹叶颊J為管理程序的隱患是安全專家擔心的問題。"虛擬化安全與管理程序的安全無關(guān)"Nemertes研究公司的分析師Andreas Antonopoulos表示。"事實上我們正在從根本上改變服務(wù)器的IT體系架構(gòu)，運營模式，系統(tǒng)配置的運轉(zhuǎn)周期和管理方法，這些努力都會為服務(wù)器營造出比管理程序本身更加安全的應(yīng)用環(huán)境"。

與虛擬化的靈活性相伴而來的就是它的安全盲點--對網(wǎng)絡(luò)流量的忽視。"虛擬機間的網(wǎng)絡(luò)流量過于密集，傳統(tǒng)的安全工具無法對流量進行分析"金融網(wǎng)絡(luò)通信公司BTRadianz的前任首席信息安全官兼獨立IT安全顧問Lloyd Hession表示。

隨著企業(yè)逐步將關(guān)鍵任務(wù)應(yīng)用軟件遷移至虛擬機來減少物理主機的數(shù)量，對虛擬網(wǎng)絡(luò)流量的忽視帶來的麻煩也日漸凸顯。越來越多的公司在數(shù)據(jù)中心中管理的虛擬機數(shù)量也開始日益膨脹。這些服務(wù)器都在運行關(guān)鍵任務(wù)應(yīng)用軟件。IDC預(yù)測到2011年，企業(yè)在虛擬化服務(wù)上的投資將逼近117億美元，比2006年激增了55億美元。

來自用戶的煩惱

舉例來說，衛(wèi)生保健行業(yè)的軟件服務(wù)供應(yīng)商Quantros公司主要向醫(yī)院和衛(wèi)生保健部門提供隨需軟件來幫助他們管理病人的安全狀況跟蹤，監(jiān)護和資格鑒定。去年，公司開始著手調(diào)研是否應(yīng)該對日趨老化的網(wǎng)絡(luò)系統(tǒng)進行修整。"我們的網(wǎng)絡(luò)在不斷擴容，如今它已經(jīng)成為新增物理服務(wù)器時的成本瓶頸"Quantros公司網(wǎng)絡(luò)數(shù)據(jù)中心服務(wù)總監(jiān)Bryan Rood表示。

為了節(jié)約網(wǎng)絡(luò)擴容時的成本，Quantros公司采用VMware的ESX服務(wù)器虛擬化平臺來對公司大量網(wǎng)頁和服務(wù)器進行虛擬化部署。"這對于我們的基礎(chǔ)架構(gòu)是個理想的方案，對這些系統(tǒng)實施虛擬化的商業(yè)需求也很旺盛"Rood表示。

隨著虛擬化部署取得初步的成果，更多的虛擬化解決方案開始出臺，包括用于質(zhì)量保證的虛擬化系統(tǒng)。目前整個服務(wù)器系統(tǒng)由55臺物理機和40臺虛擬機組成的Quantros公司的也面臨著安全挑戰(zhàn)。首先，傳統(tǒng)的網(wǎng)絡(luò)防入侵系統(tǒng)無法保護一臺主機上的多重虛擬機免受彼此的攻擊。維護和補丁程序的升級難度也在增大。Rood就需要一種方法來確保每臺虛擬系統(tǒng)能得到公司嚴格的安全和補丁流程的保護。

Quantros公司使用的是Blue Lane科技公司的ServerShield安全工具，這款產(chǎn)品不僅能有效的識別和保護Quantros的物理機，而且也能為這些服務(wù)器上運行的所有遠程虛擬機提供保護，Rood表示。Blue Lane科技公司采用虛擬補丁代理服務(wù)器改進了自己的技術(shù)為虛擬化環(huán)境提供更好的保護。去年，這家廠商推出了它的專門針對虛擬機到虛擬機流量分析和執(zhí)行的VirtualShield。

企業(yè)在部署虛擬化之時需要對這種類型的安全挑戰(zhàn)做好準備。"多數(shù)公司在開始實施時，可以先對系統(tǒng)測試試運行。他們會發(fā)現(xiàn)這樣做能節(jié)省開支，商業(yè)運作也更具靈活性"思杰系統(tǒng)公司首席安全戰(zhàn)略顧問Kurt Roemer表示。"但是他們不會去詢問虛擬化會如何改變他們現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。傳統(tǒng)的控制方法目前并不實用"。

"安全和審計團隊更關(guān)心這些虛擬化環(huán)境如何行使和實現(xiàn)服務(wù)品質(zhì)協(xié)議下同等的安全性，實用性和延遲"優(yōu)利系統(tǒng)公司安全創(chuàng)新首席工程師克里斯.霍夫表示。