IT運(yùn)維人員如何應(yīng)對虛擬化安全？

申請免費(fèi)試用、咨詢電話：400-8352-114

 虛擬化現(xiàn)在成了標(biāo)準(zhǔn)作業(yè)程序。它同時(shí)也打破了傳統(tǒng)的防御機(jī)制，因?yàn)樽璧K了可見性和控制性，帶來了新的攻擊途徑，增加了復(fù)雜性，而且使網(wǎng)絡(luò)團(tuán)隊(duì)與服務(wù)器團(tuán)隊(duì)之間的管理角色模糊起來?！缎畔⒅芸冯s志在2012年調(diào)查了數(shù)據(jù)中心的現(xiàn)狀，結(jié)果顯示，沒有回頭路可走，哪怕我們想走回頭路：到明年年底之前，256名調(diào)查對象中有一半會(huì)將生產(chǎn)環(huán)境中至少50%的服務(wù)器進(jìn)行虛擬化處理;26%的調(diào)查對象會(huì)將75%或更多比例的服務(wù)器進(jìn)行虛擬化處理。所以，虛擬化安全市場的創(chuàng)新停滯不前頗讓人遺憾。阻礙體現(xiàn)在兩個(gè)方面：首先，虛擬機(jī)管理程序還沒有遇到重大的安全事件，這讓設(shè)備管理系統(tǒng)人士洋洋自得。其次，廠商們不愿意與VMware較量;VMware擁有市場的大部分份額，還控制著API(應(yīng)用編程接口)，鑒于企業(yè)界很少采用與之競爭的服務(wù)器虛擬機(jī)管理程序，VMware稱得上是巨無霸。

  這樣一來，擺在我們面前的確保虛擬機(jī)管理程序網(wǎng)絡(luò)安全的主要產(chǎn)品數(shù)量有限。其中兩個(gè)產(chǎn)品：VMware自己的vShield和瞻博網(wǎng)絡(luò)的vGW(虛擬網(wǎng)關(guān)，從Altor收購而來)使用由VMware的VMsafe安全計(jì)劃提供的API。作為這個(gè)市場的另一個(gè)大佬，思杰的技術(shù)立足于專有的Nexus 1000V虛擬交換機(jī)，雖然該交換機(jī)是思科與VMware合作開發(fā)出來的，但是并不依賴VMsafe。思科還沒有完全加入VMware的行列;它暗示，這項(xiàng)技術(shù)可以與其他虛擬機(jī)管理程序協(xié)同使用。   如果你運(yùn)行非VMware虛擬機(jī)管理程序，就應(yīng)該考慮Vyatta公司的Network OS產(chǎn)品，這款產(chǎn)品與思杰XenServer和紅帽KVM兼容，而且與VMware的vShield Edge一樣，包括NAT和DHCP服務(wù)器。Vyatta還增添了一種復(fù)雜的路由引擎，可支持IPv4和IPv6動(dòng)態(tài)路由協(xié)議，比如BGP(邊界路由協(xié)議)、OSPF(開放最短路徑優(yōu)先)和RIP(路由信息協(xié)議)。   誠然，眼下非VMware虛擬機(jī)管理程序陣營很?。簩ψ罱邮堋缎畔⒅芸冯s志虛擬化管理調(diào)查的對象當(dāng)中90%的人來說，某個(gè)版本的VMware是主要的虛擬機(jī)管理程序平臺(tái)。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)這些開源云系統(tǒng)日益流行起來，這個(gè)市場會(huì)變得更有活力，變數(shù)更大。微軟已經(jīng)對Hyper-V作了存儲(chǔ)和遷移方面的一些改進(jìn)，目的是為了吸引企業(yè)，但是在網(wǎng)絡(luò)安全方面還無法與VMsafe抗衡，不過第三方正在開始填補(bǔ)這方面的不足。另外別忽視了像前Xen架構(gòu)師Simon Crosby領(lǐng)導(dǎo)的Bromium這些新興企業(yè)，它們致力于虛擬化和云安全。一種全新的平臺(tái)可能會(huì)使得安全虛擬化成為一項(xiàng)最低要求的功能，從而提高競爭門檻。Crosby暗示Bromium大有機(jī)會(huì)，他表示他認(rèn)為五年后，大多數(shù)設(shè)備管理系統(tǒng)工作負(fù)載將放在云端——無論是公共云還是私有云;而虛擬機(jī)管理程序“唯一的價(jià)值將體現(xiàn)在安全上。”   不過眼下，VMware的vShield系列為虛擬機(jī)安全市場確立了標(biāo)準(zhǔn)。更重要的是，它實(shí)際上界定了與邏輯網(wǎng)絡(luò)和虛擬機(jī)邊界相對應(yīng)的三個(gè)部分：虛擬機(jī)內(nèi)部(第2層，虛擬交換機(jī)里面)、虛擬機(jī)之間(第3層，私有云中的物理主機(jī)之間)以及訪客操作系統(tǒng)(虛擬機(jī)里面的應(yīng)用程序控制導(dǎo))。我們會(huì)深入探討每一層，但這種結(jié)構(gòu)是設(shè)備管理系統(tǒng)團(tuán)隊(duì)規(guī)劃安全戰(zhàn)略的良好基礎(chǔ)。   高效的安全需要專門的技術(shù)專長，因而很少有人認(rèn)為開源項(xiàng)目本身會(huì)為KVM或Xen提供尚可接受的安全性。雖然微軟擁有為Hyper-V開發(fā)像vShield這種技術(shù)所需要的資源和人才，但它還沒有這么做。瞻博網(wǎng)絡(luò)公司的首席安全架構(gòu)師Christofer Hoff說：“微軟承認(rèn)自己不是網(wǎng)絡(luò)專家。”他補(bǔ)充說，他預(yù)計(jì)雷德蒙(注：微軟總部所在地)會(huì)圍繞Hyper-V精心打造一個(gè)安全生態(tài)系統(tǒng)，就像VMware依托VMsafe合作伙伴計(jì)劃建立聯(lián)盟那樣。   所有虛擬安全軟件存在的一個(gè)問題是，幾乎不可能把一家公司自己的安全策略擴(kuò)展到公共云。對采用VMware技術(shù)的公司來說，最容易的辦法就是采用VMware的云管理服務(wù)：vCloud，這是VMware眼里的一種戰(zhàn)略性優(yōu)勢。不過，對使用亞馬遜或Rackspace云服務(wù)的公司來說，你進(jìn)入到公共云后，你的虛擬化安全策略就被拋到了窗外。Hoff認(rèn)為，開發(fā)一套支持多種平臺(tái)和多家提供商的一致的高級(jí)安全API是虛擬化安全領(lǐng)域面臨的下一大挑戰(zhàn)。不過他承認(rèn)，行業(yè)想就這樣一套標(biāo)準(zhǔn)化的、可以互換的安全協(xié)議達(dá)成共識(shí)，還有很長一段路要走。   那么，設(shè)備管理系統(tǒng)運(yùn)維人員在此之前該怎么辦呢?   準(zhǔn)備把傳統(tǒng)防御機(jī)制和虛擬防御機(jī)制結(jié)合起來，偏向于更多地使用虛擬化。你選擇的安全軟件將取決于你使用哪些虛擬化平臺(tái)，但是也要讓你的廠商認(rèn)識(shí)到：支持一系列不同的虛擬機(jī)管理程序是個(gè)賣點(diǎn)。如果你打算實(shí)施桌面虛擬化，更是如此：從切實(shí)可行的廠商這方面來看，桌面虛擬化市場是個(gè)廣闊得多的市場。虛擬桌面基礎(chǔ)設(shè)施(VDI)可以控制混亂的PC環(huán)境，因而更容易確保設(shè)備得到安全配置、始終如一地打上補(bǔ)丁。如果你在使用VDI，就可以把端點(diǎn)保護(hù)從訪客操作系統(tǒng)移入到虛擬機(jī)管理程序，把獨(dú)立的、基于代理軟件的客戶端反惡意軟件系統(tǒng)換成端點(diǎn)虛擬安全設(shè)備。這樣就能夠大幅提升性能和可管理性。   確保服務(wù)器和網(wǎng)絡(luò)虛擬化是你安全團(tuán)隊(duì)的使命和項(xiàng)目計(jì)劃的一部分，而不是由虛擬機(jī)管理員實(shí)施的一次性工作。也不要低估了可能發(fā)生的地盤之爭。正如Crosby指出的那樣，虛擬安全設(shè)備暴露了棘手的控制問題，特別是由于虛擬機(jī)管理平臺(tái)現(xiàn)在處理虛擬交換機(jī)(vSwitch)和邏輯卷，因而迅速牽涉各個(gè)工種的數(shù)據(jù)中心人員，包括安全人員、網(wǎng)絡(luò)人員和存儲(chǔ)配置人員。接過這些新角色的服務(wù)器管理員可能沒有作好充分的準(zhǔn)備來處理這些復(fù)雜工作。   別指望可以丟棄安全層。虛擬機(jī)安全是補(bǔ)充而不是取代深層防御戰(zhàn)略的其他部分，比如邊界硬件防火墻、入侵預(yù)防硬件設(shè)備和內(nèi)容過濾器。   要把虛擬化納入到你的整個(gè)安全報(bào)告框架中。連虛擬交換機(jī)和虛擬網(wǎng)卡等虛擬化網(wǎng)絡(luò)設(shè)備也需要加以監(jiān)控和審計(jì)，但是你又不想要另一套SEIM(安全事件管理)、網(wǎng)絡(luò)或入侵監(jiān)控和管理平臺(tái)。這意味著，虛擬化安全產(chǎn)品必須集成到現(xiàn)有的設(shè)備管理系統(tǒng)和報(bào)告基礎(chǔ)設(shè)施中，而不是作為特殊情況來對待。沒有孤島。   最后，與你的廠商加強(qiáng)交流。在過去的幾年間，幾家廠商已宣布、甚至演示了旨在為虛擬機(jī)提供網(wǎng)絡(luò)安全的產(chǎn)品，但是結(jié)果重新調(diào)整了戰(zhàn)略，或者是由于面臨像思科、瞻博和VMware這些大公司的競爭，或者是由于認(rèn)識(shí)到了這項(xiàng)任務(wù)的技術(shù)復(fù)雜性。“隨著時(shí)間的推移，由于VMware不斷添加功能，像Catbird和Reflex等其他廠商已經(jīng)由自己單干變?yōu)橄騐Mware看齊，”他是指提供監(jiān)控、策略合規(guī)和審計(jì)的一體化虛擬機(jī)管理平臺(tái)，而不是提供第2層或第3層虛擬網(wǎng)絡(luò)安全。   我們的觀點(diǎn)就是，我們可能會(huì)看到VMware及其他重要設(shè)備管理系統(tǒng)廠商(包括冠群、惠普、IBM和微軟)會(huì)為各自綜合的基礎(chǔ)設(shè)施管理套件添加虛擬機(jī)管理功能，從而進(jìn)軍這個(gè)小眾領(lǐng)域。

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆老軟件蘊(yùn)藏大威脅 警惕拖延升級(jí)的安全隱患

◆設(shè)備管理軟件軟件專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考