IT運維人員如何應(yīng)對虛擬化安全？

申請免費試用、咨詢電話：400-8352-114

 虛擬化現(xiàn)在成了標準作業(yè)程序。它同時也打破了傳統(tǒng)的防御機制，因為阻礙了可見性和控制性，帶來了新的攻擊途徑，增加了復(fù)雜性，而且使網(wǎng)絡(luò)團隊與服務(wù)器團隊之間的管理角色模糊起來。《信息周刊》雜志在2012年調(diào)查了數(shù)據(jù)中心的現(xiàn)狀，結(jié)果顯示，沒有回頭路可走，哪怕我們想走回頭路：到明年年底之前，256名調(diào)查對象中有一半會將生產(chǎn)環(huán)境中至少50%的服務(wù)器進行虛擬化處理;26%的調(diào)查對象會將75%或更多比例的服務(wù)器進行虛擬化處理。所以，虛擬化安全市場的創(chuàng)新停滯不前頗讓人遺憾。阻礙體現(xiàn)在兩個方面：首先，虛擬機管理程序還沒有遇到重大的安全事件，這讓設(shè)備管理系統(tǒng)人士洋洋自得。其次，廠商們不愿意與VMware較量;VMware擁有市場的大部分份額，還控制著API(應(yīng)用編程接口)，鑒于企業(yè)界很少采用與之競爭的服務(wù)器虛擬機管理程序，VMware稱得上是巨無霸。

  這樣一來，擺在我們面前的確保虛擬機管理程序網(wǎng)絡(luò)安全的主要產(chǎn)品數(shù)量有限。其中兩個產(chǎn)品：VMware自己的vShield和瞻博網(wǎng)絡(luò)的vGW(虛擬網(wǎng)關(guān)，從Altor收購而來)使用由VMware的VMsafe安全計劃提供的API。作為這個市場的另一個大佬，思杰的技術(shù)立足于專有的Nexus 1000V虛擬交換機，雖然該交換機是思科與VMware合作開發(fā)出來的，但是并不依賴VMsafe。思科還沒有完全加入VMware的行列;它暗示，這項技術(shù)可以與其他虛擬機管理程序協(xié)同使用。   如果你運行非VMware虛擬機管理程序，就應(yīng)該考慮Vyatta公司的Network OS產(chǎn)品，這款產(chǎn)品與思杰XenServer和紅帽KVM兼容，而且與VMware的vShield Edge一樣，包括NAT和DHCP服務(wù)器。Vyatta還增添了一種復(fù)雜的路由引擎，可支持IPv4和IPv6動態(tài)路由協(xié)議，比如BGP(邊界路由協(xié)議)、OSPF(開放最短路徑優(yōu)先)和RIP(路由信息協(xié)議)。   誠然，眼下非VMware虛擬機管理程序陣營很?。簩ψ罱邮堋缎畔⒅芸冯s志虛擬化管理調(diào)查的對象當中90%的人來說，某個版本的VMware是主要的虛擬機管理程序平臺。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)這些開源云系統(tǒng)日益流行起來，這個市場會變得更有活力，變數(shù)更大。微軟已經(jīng)對Hyper-V作了存儲和遷移方面的一些改進，目的是為了吸引企業(yè)，但是在網(wǎng)絡(luò)安全方面還無法與VMsafe抗衡，不過第三方正在開始填補這方面的不足。另外別忽視了像前Xen架構(gòu)師Simon Crosby領(lǐng)導(dǎo)的Bromium這些新興企業(yè)，它們致力于虛擬化和云安全。一種全新的平臺可能會使得安全虛擬化成為一項最低要求的功能，從而提高競爭門檻。Crosby暗示Bromium大有機會，他表示他認為五年后，大多數(shù)設(shè)備管理系統(tǒng)工作負載將放在云端——無論是公共云還是私有云;而虛擬機管理程序“唯一的價值將體現(xiàn)在安全上。”   不過眼下，VMware的vShield系列為虛擬機安全市場確立了標準。更重要的是，它實際上界定了與邏輯網(wǎng)絡(luò)和虛擬機邊界相對應(yīng)的三個部分：虛擬機內(nèi)部(第2層，虛擬交換機里面)、虛擬機之間(第3層，私有云中的物理主機之間)以及訪客操作系統(tǒng)(虛擬機里面的應(yīng)用程序控制導(dǎo))。我們會深入探討每一層，但這種結(jié)構(gòu)是設(shè)備管理系統(tǒng)團隊規(guī)劃安全戰(zhàn)略的良好基礎(chǔ)。   高效的安全需要專門的技術(shù)專長，因而很少有人認為開源項目本身會為KVM或Xen提供尚可接受的安全性。雖然微軟擁有為Hyper-V開發(fā)像vShield這種技術(shù)所需要的資源和人才，但它還沒有這么做。瞻博網(wǎng)絡(luò)公司的首席安全架構(gòu)師Christofer Hoff說：“微軟承認自己不是網(wǎng)絡(luò)專家。”他補充說，他預(yù)計雷德蒙(注：微軟總部所在地)會圍繞Hyper-V精心打造一個安全生態(tài)系統(tǒng)，就像VMware依托VMsafe合作伙伴計劃建立聯(lián)盟那樣。   所有虛擬安全軟件存在的一個問題是，幾乎不可能把一家公司自己的安全策略擴展到公共云。對采用VMware技術(shù)的公司來說，最容易的辦法就是采用VMware的云管理服務(wù)：vCloud，這是VMware眼里的一種戰(zhàn)略性優(yōu)勢。不過，對使用亞馬遜或Rackspace云服務(wù)的公司來說，你進入到公共云后，你的虛擬化安全策略就被拋到了窗外。Hoff認為，開發(fā)一套支持多種平臺和多家提供商的一致的高級安全API是虛擬化安全領(lǐng)域面臨的下一大挑戰(zhàn)。不過他承認，行業(yè)想就這樣一套標準化的、可以互換的安全協(xié)議達成共識，還有很長一段路要走。   那么，設(shè)備管理系統(tǒng)運維人員在此之前該怎么辦呢?   準備把傳統(tǒng)防御機制和虛擬防御機制結(jié)合起來，偏向于更多地使用虛擬化。你選擇的安全軟件將取決于你使用哪些虛擬化平臺，但是也要讓你的廠商認識到：支持一系列不同的虛擬機管理程序是個賣點。如果你打算實施桌面虛擬化，更是如此：從切實可行的廠商這方面來看，桌面虛擬化市場是個廣闊得多的市場。虛擬桌面基礎(chǔ)設(shè)施(VDI)可以控制混亂的PC環(huán)境，因而更容易確保設(shè)備得到安全配置、始終如一地打上補丁。如果你在使用VDI，就可以把端點保護從訪客操作系統(tǒng)移入到虛擬機管理程序，把獨立的、基于代理軟件的客戶端反惡意軟件系統(tǒng)換成端點虛擬安全設(shè)備。這樣就能夠大幅提升性能和可管理性。   確保服務(wù)器和網(wǎng)絡(luò)虛擬化是你安全團隊的使命和項目計劃的一部分，而不是由虛擬機管理員實施的一次性工作。也不要低估了可能發(fā)生的地盤之爭。正如Crosby指出的那樣，虛擬安全設(shè)備暴露了棘手的控制問題，特別是由于虛擬機管理平臺現(xiàn)在處理虛擬交換機(vSwitch)和邏輯卷，因而迅速牽涉各個工種的數(shù)據(jù)中心人員，包括安全人員、網(wǎng)絡(luò)人員和存儲配置人員。接過這些新角色的服務(wù)器管理員可能沒有作好充分的準備來處理這些復(fù)雜工作。   別指望可以丟棄安全層。虛擬機安全是補充而不是取代深層防御戰(zhàn)略的其他部分，比如邊界硬件防火墻、入侵預(yù)防硬件設(shè)備和內(nèi)容過濾器。   要把虛擬化納入到你的整個安全報告框架中。連虛擬交換機和虛擬網(wǎng)卡等虛擬化網(wǎng)絡(luò)設(shè)備也需要加以監(jiān)控和審計，但是你又不想要另一套SEIM(安全事件管理)、網(wǎng)絡(luò)或入侵監(jiān)控和管理平臺。這意味著，虛擬化安全產(chǎn)品必須集成到現(xiàn)有的設(shè)備管理系統(tǒng)和報告基礎(chǔ)設(shè)施中，而不是作為特殊情況來對待。沒有孤島。   最后，與你的廠商加強交流。在過去的幾年間，幾家廠商已宣布、甚至演示了旨在為虛擬機提供網(wǎng)絡(luò)安全的產(chǎn)品，但是結(jié)果重新調(diào)整了戰(zhàn)略，或者是由于面臨像思科、瞻博和VMware這些大公司的競爭，或者是由于認識到了這項任務(wù)的技術(shù)復(fù)雜性。“隨著時間的推移，由于VMware不斷添加功能，像Catbird和Reflex等其他廠商已經(jīng)由自己單干變?yōu)橄騐Mware看齊，”他是指提供監(jiān)控、策略合規(guī)和審計的一體化虛擬機管理平臺，而不是提供第2層或第3層虛擬網(wǎng)絡(luò)安全。   我們的觀點就是，我們可能會看到VMware及其他重要設(shè)備管理系統(tǒng)廠商(包括冠群、惠普、IBM和微軟)會為各自綜合的基礎(chǔ)設(shè)施管理套件添加虛擬機管理功能，從而進軍這個小眾領(lǐng)域。

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運維管理專區(qū)

◆別讓打印機成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡(luò)安全管理十大注意事項

◆老軟件蘊藏大威脅 警惕拖延升級的安全隱患

◆設(shè)備管理軟件軟件專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考