虛擬化應用安全盲點：網絡流量控制

申請免費試用、咨詢電話：400-8352-114

隨著企業(yè)通過部署虛擬化成功的縮減了采購和維護物理服務器的成本，虛擬化的應用日益成為企業(yè)關注的寵兒，但這是否會為系統埋下易受攻擊的隱患呢?很有可能。企業(yè)虛擬化的努力不只是簡單的對服務器和應用軟件進行整合來減少數據中心物理機的數量，還要對可能面臨的風險予以足夠的重視。這種風險不僅存在于管理程序或者虛擬化軟件本身，而且還會對傳統網絡和安全控制產生影響。

缺少關注的軟肋

虛擬化軟件即管理程序與其他類型的應用程序是不同的，它有著自身的缺陷和安全漏洞。管理程序的這種風險就是所謂的"hyperjacking"，一旦入侵得逞就會危及管理程序的安全，入侵者就會肆無忌憚的訪問物理服務器上的所有虛擬機。這是非常危險的，因為一臺主機上可能運行著大量的虛擬機。

危及主機的連帶后果將是非?？膳碌?，通常大家都認為管理程序的隱患是安全專家擔心的問題。"虛擬化安全與管理程序的安全無關"Nemertes研究公司的分析師Andreas Antonopoulos表示。"事實上我們正在從根本上改變服務器的IT體系架構，運營模式，系統配置的運轉周期和管理方法，這些努力都會為服務器營造出比管理程序本身更加安全的應用環(huán)境"。

與虛擬化的靈活性相伴而來的就是它的安全盲點--對網絡流量的忽視。"虛擬機間的網絡流量過于密集，傳統的安全工具無法對流量進行分析"金融網絡通信公司BTRadianz的前任首席信息安全官兼獨立IT安全顧問Lloyd Hession表示。

隨著企業(yè)逐步將關鍵任務應用軟件遷移至虛擬機來減少物理主機的數量，對虛擬網絡流量的忽視帶來的麻煩也日漸凸顯。越來越多的公司在數據中心中管理的虛擬機數量也開始日益膨脹。這些服務器都在運行關鍵任務應用軟件。IDC預測到2011年，企業(yè)在虛擬化服務上的投資將逼近117億美元，比2006年激增了55億美元。

來自用戶的煩惱

舉例來說，衛(wèi)生保健行業(yè)的軟件服務供應商Quantros公司主要向醫(yī)院和衛(wèi)生保健部門提供隨需軟件來幫助他們管理病人的安全狀況跟蹤，監(jiān)護和資格鑒定。去年，公司開始著手調研是否應該對日趨老化的網絡系統進行修整。"我們的網絡在不斷擴容，如今它已經成為新增物理服務器時的成本瓶頸"Quantros公司網絡數據中心服務總監(jiān)Bryan Rood表示。

為了節(jié)約網絡擴容時的成本，Quantros公司采用VMware的ESX服務器虛擬化平臺來對公司大量網頁和服務器進行虛擬化部署。"這對于我們的基礎架構是個理想的方案，對這些系統實施虛擬化的商業(yè)需求也很旺盛"Rood表示。

隨著虛擬化部署取得初步的成果，更多的虛擬化解決方案開始出臺，包括用于質量保證的虛擬化系統。目前整個服務器系統由55臺物理機和40臺虛擬機組成的Quantros公司的也面臨著安全挑戰(zhàn)。首先，傳統的網絡防入侵系統無法保護一臺主機上的多重虛擬機免受彼此的攻擊。維護和補丁程序的升級難度也在增大。Rood就需要一種方法來確保每臺虛擬系統能得到公司嚴格的安全和補丁流程的保護。

Quantros公司使用的是Blue Lane科技公司的ServerShield安全工具，這款產品不僅能有效的識別和保護Quantros的物理機，而且也能為這些服務器上運行的所有遠程虛擬機提供保護，Rood表示。Blue Lane科技公司采用虛擬補丁代理服務器改進了自己的技術為虛擬化環(huán)境提供更好的保護。去年，這家廠商推出了它的專門針對虛擬機到虛擬機流量分析和執(zhí)行的VirtualShield。

企業(yè)在部署虛擬化之時需要對這種類型的安全挑戰(zhàn)做好準備。"多數公司在開始實施時，可以先對系統測試試運行。他們會發(fā)現這樣做能節(jié)省開支，商業(yè)運作也更具靈活性"思杰系統公司首席安全戰(zhàn)略顧問Kurt Roemer表示。"但是他們不會去詢問虛擬化會如何改變他們現有的網絡基礎架構。傳統的控制方法目前并不實用"。

"安全和審計團隊更關心這些虛擬化環(huán)境如何行使和實現服務品質協議下同等的安全性，實用性和延遲"優(yōu)利系統公司安全創(chuàng)新首席工程師克里斯.霍夫表示。