服務(wù)器虛擬化如何平衡網(wǎng)絡(luò)安全上的利弊

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

作為系統(tǒng)和數(shù)據(jù)中心的一個(gè)重要組成部分，服務(wù)器虛擬化領(lǐng)域正處于高速成長(zhǎng)的階段。但是，服務(wù)器虛擬化會(huì)給已經(jīng)十分復(fù)雜的現(xiàn)有安全環(huán)境帶來(lái)更多的漏洞。這是不是真實(shí)的情況?服務(wù)器虛擬化是否會(huì)增加公司面臨的風(fēng)險(xiǎn)?如果答案是肯定的話，與獲取的價(jià)值相比，付出的代價(jià)是否值得讓我們選擇接受服務(wù)器虛擬化?

為什么要選擇服務(wù)器虛擬化?

當(dāng)基于微型計(jì)算機(jī)技術(shù)的服務(wù)器開始取代大型主機(jī)，并開始成為業(yè)務(wù)信息處理系統(tǒng)核心的時(shí)間，微機(jī)技術(shù)的發(fā)展是遠(yuǎn)遠(yuǎn)落后于當(dāng)前時(shí)代的。微軟等公司為了確保用戶得到預(yù)期性能同時(shí)降低系統(tǒng)不兼容帶來(lái)的風(fēng)險(xiǎn)，給出的建議是在每臺(tái)服務(wù)器上安裝單獨(dú)的解決方案。對(duì)于數(shù)據(jù)中心來(lái)說(shuō)，這種方法盡管是有效的，但卻意味著出現(xiàn)了數(shù)以百計(jì)的單一用途服務(wù)器。

隨著服務(wù)器數(shù)量的增加，管理上的難度就變得越來(lái)越大。此外，由于硬件技術(shù)的飛速發(fā)展，加上服務(wù)器的更新?lián)Q代，導(dǎo)致數(shù)據(jù)中心的服務(wù)器資源經(jīng)常得不到充分的利用。這種情況下，服務(wù)器虛擬化技術(shù)產(chǎn)生就成為理所當(dāng)然的事情了。

開始時(shí)，服務(wù)器虛擬化技術(shù)的發(fā)展速度并不快，感覺(jué)上就象是在公園里隨意漫步。但隨著時(shí)間的推移，它逐漸成為了很多服務(wù)器解決方案的核心。根據(jù)來(lái)自信息安全風(fēng)險(xiǎn)管理公司Foundstone的威廉?郝和魯?shù)婪?阿勞霍的觀點(diǎn)：

最近一屆[虛擬化]行業(yè)峰會(huì)吸引了超過(guò)一萬(wàn)人參加，并且就Java和Linux操作系統(tǒng)在虛擬化環(huán)境下的應(yīng)用達(dá)成了一致。

服務(wù)器和桌面虛擬化已經(jīng)不再僅僅是一個(gè)時(shí)髦的詞語(yǔ)，而是成為了現(xiàn)實(shí)的技術(shù)，對(duì)于公司用戶來(lái)說(shuō)，可以作為確定的信息技術(shù)給予利用。

之所以選擇虛擬化技術(shù)，是因?yàn)樗梢詭椭窘鉀Q在使用服務(wù)器時(shí)出現(xiàn)的很多常見(jiàn)問(wèn)題，其中包括了：

硬件分享。多臺(tái)虛擬服務(wù)器可以共享來(lái)自同一硬件平臺(tái)上的所有資源，從而在最大限度上提高公司投資的利用率。

避免了底層硬件在兼容性方面出現(xiàn)問(wèn)題。虛擬服務(wù)器技術(shù)可以為使用者建立專門的虛擬服務(wù)器環(huán)境。這樣的話，供應(yīng)商和商業(yè)用戶的應(yīng)用程序和操作系統(tǒng)就不必?fù)?dān)心在部署一個(gè)解決方案的時(shí)間，會(huì)由于硬件不兼容而出現(xiàn)各種各樣的問(wèn)題。

安全日志記錄。虛擬化管理軟件或虛擬機(jī)管理器(VMM)，會(huì)記錄下在客戶虛擬環(huán)境下發(fā)生的破壞事件。因此，即使虛擬機(jī)中的日志被破壞或者修改，虛擬機(jī)管理器的日志依舊是安全的，不會(huì)受到影響。

通過(guò)標(biāo)準(zhǔn)鏡像啟用服務(wù)器。只要按照恰當(dāng)?shù)幕A(chǔ)安全標(biāo)準(zhǔn)進(jìn)行設(shè)置、安裝好補(bǔ)丁，并對(duì)使用環(huán)境進(jìn)行了配置，就可以建立一臺(tái)虛擬服務(wù)器，并且公司還可以把它作為一個(gè)標(biāo)準(zhǔn)鏡像保存起來(lái)。在需要恢復(fù)或者創(chuàng)建同一類型(舉例來(lái)說(shuō)電子郵件、數(shù)據(jù)庫(kù)、文件和打印等方面)的其它服務(wù)器時(shí)啟用。

確保運(yùn)營(yíng)業(yè)務(wù)可以快速恢復(fù)。如果出現(xiàn)硬件損壞或者虛擬服務(wù)器當(dāng)機(jī)的情況，只要重建環(huán)境的存儲(chǔ)虛擬映像就可以快速恢復(fù)業(yè)務(wù)運(yùn)營(yíng)。并且由于虛擬機(jī)是基于抽象的硬件無(wú)關(guān)性，所以，一臺(tái)后備服務(wù)器就可以恢復(fù)不同硬件平臺(tái)上的業(yè)務(wù)運(yùn)營(yíng)系統(tǒng)，而不必?fù)?dān)心出現(xiàn)硬件兼容性的問(wèn)題

安全測(cè)試。對(duì)于安全管理來(lái)說(shuō)，為服務(wù)器和網(wǎng)絡(luò)操作建立安全規(guī)則是相當(dāng)大的一部分工作。而利用虛擬服務(wù)器對(duì)安全規(guī)則進(jìn)行測(cè)試就是一種很好的方法，快速建立一臺(tái)虛擬服務(wù)器，運(yùn)行需要的測(cè)試，獲得必須的數(shù)據(jù)后就可以直接關(guān)閉它。

虛擬化技術(shù)會(huì)帶來(lái)什么樣的風(fēng)險(xiǎn)?

和其它任何新技術(shù)一樣，虛擬化技術(shù)也需要我們改變對(duì)信息基礎(chǔ)設(shè)施的管理方式。作為IT經(jīng)理應(yīng)該了解，采用虛擬化技術(shù)的話會(huì)在三個(gè)方面帶來(lái)潛在的風(fēng)險(xiǎn)，它們是：擴(kuò)大的數(shù)量、網(wǎng)絡(luò)基本要求發(fā)生變化以及進(jìn)行回滾操作時(shí)會(huì)出現(xiàn)漏洞缺陷。

對(duì)于工程師來(lái)說(shuō)，虛擬服務(wù)器可以方便地部署既是優(yōu)點(diǎn)，也是缺點(diǎn)。傳統(tǒng)服務(wù)器部署的時(shí)間需要購(gòu)買或者選擇現(xiàn)有硬件設(shè)備的閑置部分。從管理的角度來(lái)看，這樣的過(guò)程很容易進(jìn)行控制。但虛擬化技術(shù)改變了一切。

而今天，工程師們只要選擇相關(guān)的鏡象就可以創(chuàng)建基于任何虛擬化硬件平臺(tái)的虛擬服務(wù)器。不必投入任何資金他們就可以方便的作到這一點(diǎn)。這就意味著，有更多服務(wù)器需要進(jìn)行管理。安全分析師和審計(jì)師等工作人員需要監(jiān)控的數(shù)量也大大上升了。

在配置安全和性能監(jiān)控解決方案的時(shí)間，需要事前確定保證網(wǎng)絡(luò)穩(wěn)定的基本要求。但由于建立關(guān)閉用來(lái)測(cè)試基本要求所需服務(wù)器的時(shí)間，可能導(dǎo)致基本要求出現(xiàn)混亂。這包括了已經(jīng)建立的基本要求，所以就可能導(dǎo)致監(jiān)測(cè)結(jié)果不可靠之類情況出現(xiàn)。

最后，當(dāng)利用虛擬鏡象進(jìn)行虛擬服務(wù)器回滾操作的時(shí)間，更新的補(bǔ)丁可能出現(xiàn)問(wèn)題，服務(wù)器返回時(shí)間存在問(wèn)題可能導(dǎo)致補(bǔ)丁失效。舉例來(lái)說(shuō)，服務(wù)器返回的時(shí)間可能是在安全補(bǔ)丁發(fā)布之前。

所有這三方面的風(fēng)險(xiǎn)，都是由于服務(wù)器管理模式變化引起的。調(diào)整管理方法(也就是改變管理策略和方式)，是保證虛擬化安全的第一步。為了保證安全，降低風(fēng)險(xiǎn)，公司必須對(duì)管理策略進(jìn)行改進(jìn)。

現(xiàn)在，我們來(lái)了解一些常見(jiàn)類型的漏洞，以及它們是采用什么方法對(duì)虛擬環(huán)境進(jìn)行攻擊的。

包括藍(lán)色藥丸(Blue Pill)、SubVirt和Xensploit在內(nèi)的概念攻擊已經(jīng)證明虛擬機(jī)存在獨(dú)特的安全漏洞。不過(guò)，目前并沒(méi)有發(fā)生過(guò)實(shí)際的攻擊。此外，防惡意軟件工具的供應(yīng)商也都在極力提高產(chǎn)品性能，以便對(duì)這種類型的感染進(jìn)行檢測(cè)。(邁克菲提供的Total Protection虛擬化解決方案就包含了這種功能)。實(shí)際上問(wèn)題的底線在哪里呢?對(duì)于虛擬化技術(shù)來(lái)說(shuō)，安全的常識(shí)和信息都是有效的，關(guān)鍵在于設(shè)計(jì)合理控制得當(dāng)。盡管技術(shù)可能是新類型的，但安全保護(hù)的基本原則并不會(huì)改變。

結(jié) 論

因此，是否值得冒險(xiǎn)選擇虛擬化技術(shù)呢?答案是肯定的。得到適當(dāng)管理的虛擬化技術(shù)帶來(lái)的好處遠(yuǎn)遠(yuǎn)大于任何想象或者實(shí)際的危險(xiǎn)。具體來(lái)說(shuō)，就是通過(guò)適當(dāng)?shù)墓芾泶胧┛梢詫⒃摷夹g(shù)帶來(lái)的額外風(fēng)險(xiǎn)降低到最小的程度，而同時(shí)在業(yè)務(wù)連續(xù)性和投資回報(bào)率方面改善帶來(lái)的好處是非常顯著的。因此，選擇虛擬化技術(shù)是一件非常值得的事情。