你是否需要在虛擬服務(wù)器內(nèi)部署防火墻或者入侵防御系統(tǒng)來查看虛擬網(wǎng)絡(luò)流量�����?
惡意管理程序�、破壞性虛擬機�����、實時遷移模擬器等歡迎來到服務(wù)器虛擬化世界���。在服務(wù)器虛擬化世界���,威脅都是新的��,防火墻和入侵防御系統(tǒng)這些傳統(tǒng)安全工具不再能夠阻止威脅�。
不過����,在很多企業(yè),安全策略并沒有因為轉(zhuǎn)移到x.86服務(wù)器虛擬化而發(fā)生改變��。“很多企業(yè)都有虛擬環(huán)境�,但是卻沒有對這些虛擬化部署任何相應(yīng)的安全措施,完全沒有考慮后果�����,”Forrester研究所分析師John Kindervag表示����。
Gartner研究所的Neil MacDonald也同意這樣的說法:“企業(yè)對于虛擬化安全問題的認識完全沒有達到預(yù)期的水平���,甚至遠遠不夠。”
對于這些企業(yè)來說���,他們的IT專業(yè)人士往往是這樣看待的:由于物理服務(wù)器和虛擬服務(wù)器都是在相同的硬件上運行相同的Linux和Windows操作系統(tǒng)���,那么為前者部署的安全措施肯定也適用于后者,“他們認為一切都沒有改變�����,而這是一個致命的錯誤���,”MacDonald表示��。
“當(dāng)你選擇虛擬化時��,你就引入了一種新層面的軟件���,在其上運行的Windows和Linuc系統(tǒng)的所有工作負載都依賴于它的完整性。首先也是你需要做的最重要的事情就是認識這個新層面,并圍繞這個新層面的配置和漏洞管理部署基本的安全防御措施��,”MacDonald表示��,“這是最基本的安全問題���,也是有待解決的安全問題�。”
其次��,IT部門需要弄清楚如何處理虛擬化制造的網(wǎng)絡(luò)安全盲點��,他補充說��。
“我們在物理環(huán)境部署的基于網(wǎng)絡(luò)的防火墻或者入侵防御系統(tǒng)完全無法查看在相同硬件中部署的兩臺虛擬機之間傳輸?shù)牧髁浚?rdquo;MacDonald表示�����,“我們需要回答的問題是:我們需要在虛擬服務(wù)器內(nèi)部署安全控制來查看虛擬網(wǎng)絡(luò)流量嗎���?也許你已經(jīng)部署了安全控制,也許你沒有��,但是你必須意識到物理環(huán)境的安全控制無法查看虛擬環(huán)境的流量�,如果虛擬環(huán)境發(fā)生安全問題,例如內(nèi)部虛擬機攻擊���,你將無法察覺��。”
很多企業(yè)并沒有側(cè)重于虛擬服務(wù)器安全�,因為他們的虛擬化部署并不成熟。并且虛擬服務(wù)器只是被用來測試和開發(fā)的目的或者用來運行不重要的低優(yōu)先級別的應(yīng)用程序�,讓企業(yè)感覺安全并不是那么重要。
但是當(dāng)虛擬層轉(zhuǎn)移到生產(chǎn)環(huán)境來承載關(guān)鍵任務(wù)應(yīng)用程序時�����,安全問題就變得很重要����。隨著虛擬化環(huán)境應(yīng)用的不斷深化,圍繞虛擬環(huán)境部署專為保護虛擬基礎(chǔ)設(shè)施的安全技術(shù)的需求也隨之加強�����。
認清這個事實
“我們曾經(jīng)認為物理安全能夠保護虛擬環(huán)境的安全����,但是隨著虛擬化部署的不斷深化,我們感覺到我們必須確保采取積極主動的安全措施來保護客戶重要信息����,”Thomaston Savings銀行的助理副總裁和網(wǎng)絡(luò)管理員Patrick Quinn表示��。
為了確保虛擬環(huán)境的安全�,該銀行在虛擬環(huán)境中建立了安全網(wǎng)絡(luò)段��,并部署了與物理環(huán)境中等量的安全措施�����。他們使用Catbird Networks的vSecurity TrustZones虛擬安全技術(shù)��,允許不同信任級別的虛擬機共享一個主機����。
TrustZones可以讓Quinn根據(jù)安全政策來控制虛擬機間傳輸?shù)牧髁?���,例如,Quinn表示他為每個分公司建立了信任區(qū)��,也為總部建立了幾個信任區(qū)���。
同樣的����,英國的醫(yī)療衛(wèi)生機構(gòu)Interior Health Authority則希望在其整體安全架構(gòu)中植入虛擬服務(wù)器層,信息安全專家Kris Jmaeff表示����。
“當(dāng)然,我們的主要目的之一就是希望能夠擴大虛擬化層內(nèi)的能見度�����,”Jmaeff表示���,“在虛擬服務(wù)器環(huán)境中���,我們主要有幾個區(qū)域需要使用虛擬傳感器來檢測流量。”
為此����,Interior Health醫(yī)療機構(gòu)政策測試惠普TippingPoint的安全虛擬框架(Security Virtual Framework),該框架可以允許安全團隊來檢測vSwitch(虛擬機平臺內(nèi)的虛擬交換機)以及虛擬機變化來確定篡改或者安全控制的破壞��。
此外����,惠普公司TippingPoint虛擬入侵防御系統(tǒng)還整合了來自Reflex系統(tǒng)公司的vTrust虛擬安全技術(shù)�。與TrustZones類似的是�,Reflex技術(shù)可以幫助用戶框架可信任網(wǎng)絡(luò)段并執(zhí)行安全政策,以及監(jiān)測�、過濾和控制虛擬機到虛擬機的流量。
“我們對測試版進行測試的主要目的是為了加強我們對虛擬安全技術(shù)的認識����,更加深入的了解基礎(chǔ)設(shè)施,并對我們將來要部署的安全措施進行提前規(guī)劃和設(shè)計�。這是我們學(xué)習(xí)和了解虛擬安全最前沿技術(shù)的好機會,”Jmaeff表示��。
Catbird和Reflex是專攻虛擬服務(wù)器安全的兩家公司��,另外涉足虛擬服務(wù)器安全技術(shù)的新公司還包括Altor Networks��、Apani和HyTrust����,以及很多成熟的安全廠商:例如惠普TippingPoint���,還有提供訪問權(quán)限控制和登錄管理等安全功能的CA技術(shù)公司;提供虛擬防火墻技術(shù)的check Point軟件公司;與Altor有戰(zhàn)略合作關(guān)系的Juniper網(wǎng)絡(luò)公司;提供入侵防御系統(tǒng)技術(shù)的IBM公司以及收購了虛擬安全公司Third Brigade公司的趨勢科技公司�。
“隨著大公司的加入�����,這預(yù)示著市場對這類產(chǎn)品確實存在需求。一切只是時間問題�,在不久的將來,這些公司都會提供各種虛擬化安全產(chǎn)品�,”Gartner研究公司的MacDonald表示。
這聽起來似乎很合乎邏輯:通過部署入侵防御系統(tǒng)或者防病毒軟件��,我們應(yīng)該能夠像保護物理服務(wù)器一樣保護管理程序?qū)印?/p>
但是MacDonald不同意這個觀點�����,“我不相信你需要在管理程序中運行入侵防御系統(tǒng)或者防病毒軟件的副本�,這將會破壞管理層被弄薄且被硬化的整個目的。相反的��,良好的配置��、漏洞和補丁管理政策就足以確保管理程序?qū)拥陌踩?����,而不需要加入入侵防御系統(tǒng)或防病毒軟件����,”MacDonald表示���。
Forrester研究所的Kindervag表示,“他們表示���,在現(xiàn)代網(wǎng)絡(luò)中�,有40%的問題是與配置或者其他類型的人為錯誤而導(dǎo)致的��,這使我相信�����,從這一點來看�,如何進行安全管理比管理程序安全更加重要。”
“現(xiàn)在供應(yīng)商們真正談?wù)摰氖侨绾伪Wo虛擬機以及虛擬機間的通信流量����,就像保護物理環(huán)境中的工作負載一樣,”MacDonald表示���,“當(dāng)你在考慮整合位于相同物理服務(wù)器上不同信任級別的虛擬工作負載時���,這顯得尤為重要�����,你會需要這種能見度、隔離以及政策執(zhí)行�����。”
當(dāng)在評估虛擬安全產(chǎn)品時��,MacDonald建議選擇那些能夠在虛擬環(huán)境內(nèi)有效運行�����,并且已經(jīng)整合到來自微軟�、VMware和基于Xen虛擬化的供應(yīng)商的虛擬化框架的虛擬安全產(chǎn)品。就其本身而言��,虛擬化巨頭Vmware公司是通過其Vmware API提供虛擬安全運營的能見度��。
“現(xiàn)在約有7家主要安全廠商已經(jīng)成為Vmsafe的合作伙伴���,他們開發(fā)了虛擬化的網(wǎng)絡(luò)和端點解決方案���,這些解決方案以特殊的方式結(jié)合高安全性在管理程序中運行,”Vmware公司服務(wù)器部門的產(chǎn)品營銷高級主管Venu Aravamudan表示�。
但是這只是開始�,今年早些時候�,在2010年RSA大會上,Vmware展示了其對下一代虛擬服務(wù)器安全技術(shù)的設(shè)想���,并且與趨勢科技公司一起展示了在主機上運行防病毒處理的過程����,而不是像現(xiàn)在的產(chǎn)品那樣在虛擬機上處理�����。
“一旦這項技術(shù)變成顯示���,我們將不需要在每個虛擬機中都有一個代理�����,這意味著更好的性能����、更易于管理��、更低的成本等,”Aravamudan表示�。
這也意味著新的功能,“這種模式還將滋生這些解決方案:例如能夠檢測在文件管理程序中運行的rootkit����,發(fā)現(xiàn)虛擬機中的信用卡和其他重要信息�����,并能夠檢查文件的完整性����,”他表示。
將安全納入規(guī)劃和設(shè)計階段
美國最大的區(qū)域投資公司之一的Morgan Keegan公司是少數(shù)幾家部署了適宜虛擬安全技術(shù)的公司之一�,“我們現(xiàn)在基本上沒有什么安全問題,從我們在虛擬環(huán)境部署的安全技術(shù)來看���,”系統(tǒng)工程師Luke McClain表示��。
這是應(yīng)該是因為Morgan Keegan公司從虛擬化安全項目的第一天起就考慮了安全問題���,該公司已經(jīng)將75%的服務(wù)器基礎(chǔ)設(shè)施進行虛擬化,大約有515臺虛擬機運行3個數(shù)據(jù)中心的52臺Vmware ESX主機上��。
此前,該公司某個特定的IT運營目破壞了虛擬環(huán)境中的傳統(tǒng)防火墻�,“我們以為我們能夠使用物理環(huán)境中的安全技術(shù)來保護虛擬環(huán)境,并且能夠妥善管理���,”Morgan Keegan公司網(wǎng)絡(luò)系統(tǒng)工程總監(jiān)Parker Mabry表示���。
這需要與信息安全部門的密切規(guī)劃,將虛擬防火墻與物理防火墻進行對比�,“他們將所有功能進行了對比,例如日志記錄��、取證以及鎖定機器的深度和粒度等����,”Mabry表示。
“通常企業(yè)信息安全部門的反應(yīng)都是‘不行���!’���,預(yù)算太緊張,”他表示����,“所以我們需要讓信息安全部門看到在虛擬環(huán)境使用虛擬防火墻帶來的絕對利益。”為了硬化虛擬DMZ(隔離區(qū)),Morgan Keegan使用的是Reflex公司的vTrust安全產(chǎn)品���。
從操作角度來看���,該公司通過嚴格的身份驗證來確保虛擬機的安全。通過使用Vmware公司的vCenter虛擬化管理工具以及管理界面�,“我們非常清楚哪些人有權(quán)利訪問哪些虛擬機�����,并密切跟蹤隔離區(qū)環(huán)境的情況����。”
Vmware公司鼓勵其合作伙伴和現(xiàn)場服務(wù)機構(gòu)以確保所有企業(yè)將安全納入規(guī)劃和設(shè)計階段,就像Morgan Keegan公司一樣����。
安全第一的做法對于剛開始進行虛擬化或者僅在某些情況使用虛擬化技術(shù)的企業(yè)來說并不常用,不過較大型的企業(yè)必須做到這一點�,才能夠確保長久的安全。
“尤其是對于那些有大量工作負載部署在虛擬服務(wù)器上的企業(yè)��,必須在最佳做法和安全增強指導(dǎo)中增加安全原則����。他補充說�����。”
Vmware公司認為��,虛擬化為企業(yè)節(jié)省了大量的成本并提高了經(jīng)濟效益�,在安全方面���,虛擬化也必然要耗費更多���。“這肯定是我們的目標之一,我們已經(jīng)開始證明這一點��,即基于虛擬環(huán)境的安全將比現(xiàn)在部署的物理安全更好�����。”
Gartner研究所的MacDonald表示贊同�����,“我們可以清楚地看到�����,虛擬化本身并不是不安全的,但是現(xiàn)在虛擬化沒有得到安全地部署�����。不過這個問題在未來三到四年內(nèi)將會得到改善����,隨著IT工作人員、供應(yīng)商�、工具和技術(shù)的不斷成熟��,”他表示����,“人們將會開始安全部署虛擬化,甚至比他們在物理環(huán)境中部署的虛擬化更安全��。”