虛擬化應(yīng)用安全盲點(diǎn)：網(wǎng)絡(luò)流量控制

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著企業(yè)通過(guò)部署虛擬化成功的縮減了采購(gòu)和維護(hù)物理服務(wù)器的成本，虛擬化的應(yīng)用日益成為企業(yè)關(guān)注的寵兒，但這是否會(huì)為系統(tǒng)埋下易受攻擊的隱患呢?很有可能。企業(yè)虛擬化的努力不只是簡(jiǎn)單的對(duì)服務(wù)器和應(yīng)用軟件進(jìn)行整合來(lái)減少數(shù)據(jù)中心物理機(jī)的數(shù)量，還要對(duì)可能面臨的風(fēng)險(xiǎn)予以足夠的重視。這種風(fēng)險(xiǎn)不僅存在于管理程序或者虛擬化軟件本身，而且還會(huì)對(duì)傳統(tǒng)網(wǎng)絡(luò)和安全控制產(chǎn)生影響。

缺少關(guān)注的軟肋

虛擬化軟件即管理程序與其他類型的應(yīng)用程序是不同的，它有著自身的缺陷和安全漏洞。管理程序的這種風(fēng)險(xiǎn)就是所謂的"hyperjacking"，一旦入侵得逞就會(huì)危及管理程序的安全，入侵者就會(huì)肆無(wú)忌憚的訪問(wèn)物理服務(wù)器上的所有虛擬機(jī)。這是非常危險(xiǎn)的，因?yàn)橐慌_(tái)主機(jī)上可能運(yùn)行著大量的虛擬機(jī)。

危及主機(jī)的連帶后果將是非?？膳碌?，通常大家都認(rèn)為管理程序的隱患是安全專家擔(dān)心的問(wèn)題。"虛擬化安全與管理程序的安全無(wú)關(guān)"Nemertes研究公司的分析師Andreas Antonopoulos表示。"事實(shí)上我們正在從根本上改變服務(wù)器的IT體系架構(gòu)，運(yùn)營(yíng)模式，系統(tǒng)配置的運(yùn)轉(zhuǎn)周期和管理方法，這些努力都會(huì)為服務(wù)器營(yíng)造出比管理程序本身更加安全的應(yīng)用環(huán)境"。

與虛擬化的靈活性相伴而來(lái)的就是它的安全盲點(diǎn)--對(duì)網(wǎng)絡(luò)流量的忽視。"虛擬機(jī)間的網(wǎng)絡(luò)流量過(guò)于密集，傳統(tǒng)的安全工具無(wú)法對(duì)流量進(jìn)行分析"金融網(wǎng)絡(luò)通信公司BTRadianz的前任首席信息安全官兼獨(dú)立IT安全顧問(wèn)Lloyd Hession表示。

隨著企業(yè)逐步將關(guān)鍵任務(wù)應(yīng)用軟件遷移至虛擬機(jī)來(lái)減少物理主機(jī)的數(shù)量，對(duì)虛擬網(wǎng)絡(luò)流量的忽視帶來(lái)的麻煩也日漸凸顯。越來(lái)越多的公司在數(shù)據(jù)中心中管理的虛擬機(jī)數(shù)量也開(kāi)始日益膨脹。這些服務(wù)器都在運(yùn)行關(guān)鍵任務(wù)應(yīng)用軟件。IDC預(yù)測(cè)到2011年，企業(yè)在虛擬化服務(wù)上的投資將逼近117億美元，比2006年激增了55億美元。

來(lái)自用戶的煩惱

舉例來(lái)說(shuō)，衛(wèi)生保健行業(yè)的軟件服務(wù)供應(yīng)商Quantros公司主要向醫(yī)院和衛(wèi)生保健部門(mén)提供隨需軟件來(lái)幫助他們管理病人的安全狀況跟蹤，監(jiān)護(hù)和資格鑒定。去年，公司開(kāi)始著手調(diào)研是否應(yīng)該對(duì)日趨老化的網(wǎng)絡(luò)系統(tǒng)進(jìn)行修整。"我們的網(wǎng)絡(luò)在不斷擴(kuò)容，如今它已經(jīng)成為新增物理服務(wù)器時(shí)的成本瓶頸"Quantros公司網(wǎng)絡(luò)數(shù)據(jù)中心服務(wù)總監(jiān)Bryan Rood表示。

為了節(jié)約網(wǎng)絡(luò)擴(kuò)容時(shí)的成本，Quantros公司采用VMware的ESX服務(wù)器虛擬化平臺(tái)來(lái)對(duì)公司大量網(wǎng)頁(yè)和服務(wù)器進(jìn)行虛擬化部署。"這對(duì)于我們的基礎(chǔ)架構(gòu)是個(gè)理想的方案，對(duì)這些系統(tǒng)實(shí)施虛擬化的商業(yè)需求也很旺盛"Rood表示。

隨著虛擬化部署取得初步的成果，更多的虛擬化解決方案開(kāi)始出臺(tái)，包括用于質(zhì)量保證的虛擬化系統(tǒng)。目前整個(gè)服務(wù)器系統(tǒng)由55臺(tái)物理機(jī)和40臺(tái)虛擬機(jī)組成的Quantros公司的也面臨著安全挑戰(zhàn)。首先，傳統(tǒng)的網(wǎng)絡(luò)防入侵系統(tǒng)無(wú)法保護(hù)一臺(tái)主機(jī)上的多重虛擬機(jī)免受彼此的攻擊。維護(hù)和補(bǔ)丁程序的升級(jí)難度也在增大。Rood就需要一種方法來(lái)確保每臺(tái)虛擬系統(tǒng)能得到公司嚴(yán)格的安全和補(bǔ)丁流程的保護(hù)。

Quantros公司使用的是Blue Lane科技公司的ServerShield安全工具，這款產(chǎn)品不僅能有效的識(shí)別和保護(hù)Quantros的物理機(jī)，而且也能為這些服務(wù)器上運(yùn)行的所有遠(yuǎn)程虛擬機(jī)提供保護(hù)，Rood表示。Blue Lane科技公司采用虛擬補(bǔ)丁代理服務(wù)器改進(jìn)了自己的技術(shù)為虛擬化環(huán)境提供更好的保護(hù)。去年，這家廠商推出了它的專門(mén)針對(duì)虛擬機(jī)到虛擬機(jī)流量分析和執(zhí)行的VirtualShield。

企業(yè)在部署虛擬化之時(shí)需要對(duì)這種類型的安全挑戰(zhàn)做好準(zhǔn)備。"多數(shù)公司在開(kāi)始實(shí)施時(shí)，可以先對(duì)系統(tǒng)測(cè)試試運(yùn)行。他們會(huì)發(fā)現(xiàn)這樣做能節(jié)省開(kāi)支，商業(yè)運(yùn)作也更具靈活性"思杰系統(tǒng)公司首席安全戰(zhàn)略顧問(wèn)Kurt Roemer表示。"但是他們不會(huì)去詢問(wèn)虛擬化會(huì)如何改變他們現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。傳統(tǒng)的控制方法目前并不實(shí)用"。

"安全和審計(jì)團(tuán)隊(duì)更關(guān)心這些虛擬化環(huán)境如何行使和實(shí)現(xiàn)服務(wù)品質(zhì)協(xié)議下同等的安全性，實(shí)用性和延遲"優(yōu)利系統(tǒng)公司安全創(chuàng)新首席工程師克里斯.霍夫表示。