為主機(jī)服務(wù)器上不同類型的虛擬機(jī)創(chuàng)建物理安全區(qū)����,已無法保證服務(wù)器虛擬化安全了。因此���,網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商推出了虛擬安全產(chǎn)品�,它們可以在虛擬宿主的虛擬機(jī)上直接應(yīng)用安全控制和策略�。
虛擬化方案出現(xiàn)之初服務(wù)器虛擬化安全問題便一直困擾著網(wǎng)絡(luò)安全專業(yè)人員。問題的部分原因在于無法監(jiān)測虛擬機(jī)(VM)的行為�����,并且無法將安全策略應(yīng)用到虛擬機(jī)上�����,因?yàn)檫B接這些VM的網(wǎng)絡(luò)端口已經(jīng)抽象運(yùn)行到物理主機(jī)上的超級管理程序中了����。過去,網(wǎng)絡(luò)專業(yè)人員一直通過對物理主機(jī)服務(wù)器劃分安全區(qū)來解決這個問題。只要虛擬管理人員之間進(jìn)行合作����,并保持虛擬機(jī)器位于正確的物理VLAN上��,這個問題還是可以解決的����。
但是服務(wù)器虛擬方案正在迅速發(fā)展中。支持VM遷移的技術(shù)���,如VMware vMotion��,只需輕點(diǎn)一下鼠標(biāo)便可以使網(wǎng)絡(luò)安全控制完全失效���。目前,VM的啟動和關(guān)閉非常頻繁�,人為操作失誤逐漸成為一個較大的風(fēng)險。管理員可以很輕易地在一臺信用卡處理交易專用物理主機(jī)上啟動一個測試及開發(fā)VM��,同時網(wǎng)絡(luò)安全團(tuán)隊(duì)會馬上面臨審計的噩夢�。
一家中型的East Coast 銀行的IT副總裁Dave Williams 表示,“你可以相對容易地啟動虛擬機(jī)器��,這取決于你操作的熟練程度�����,但問題是,你會發(fā)現(xiàn)有些管理員還只是剛開始接手工作���。他們可能會將開發(fā)系統(tǒng)和生產(chǎn)系統(tǒng)部署在同一臺ESX主機(jī)上”����。
事實(shí)上�,由Juniper Networks及其虛擬安全伙伴Altor Networks共同在VMworld 2010上所進(jìn)行的一個IT專業(yè)人員調(diào)查顯示,70%的被訪者都在同一主機(jī)上部署不同的VM負(fù)載��,以便提高他們的風(fēng)險預(yù)測水平����。其中55%的被訪者表示在他們的網(wǎng)絡(luò)上,每天都會發(fā)生多次的VM增加和刪除操作��,因此增加了人為失誤的風(fēng)險�����。
Altor Networks市場副總裁Johnnie Konstantas 表示���,“他們在面向互聯(lián)網(wǎng)的服務(wù)器上安裝了數(shù)據(jù)庫����,并為客戶資源應(yīng)用安裝了Web服務(wù)器,而為合作伙伴提供外部網(wǎng)絡(luò)訪問����。這可能使服務(wù)器處于更高風(fēng)險狀態(tài)�,特別是那些連接到互聯(lián)網(wǎng)上的服務(wù)器,它們還可能將一些風(fēng)險帶到到一些沒有連接到互聯(lián)網(wǎng)且擁有高價值的設(shè)施上�。從安全和法規(guī)的角度考慮,它們是必須被隔離的���。”
Williams說道����,“在談到DMZ這個問題時��,我更傾向于盡可能地使用物理邊界���。如果你用一個物理交換機(jī)將服務(wù)器連接到DMZ上�,那么我不愿意將主機(jī)虛擬化到不同VLAN上��。工程師們可能會說,‘我們可以將整個VLAN虛擬化�����,這樣VM就不會連接到一起了’�����,但是����,管理員可能很快就把它搞壞。”
服務(wù)器虛擬化安全性產(chǎn)品正在不斷完善
供應(yīng)商正在快速地解決這些問題��。在過去的兩年中�,Juniper Networks已經(jīng)在其防火墻業(yè)務(wù)方面與Altor Networks發(fā)展成為緊密的伙伴關(guān)系。在VMworld大會上���,Check Point發(fā)布了Security Gateway Virtual Edition����,Cisco Systems推出了VMsafe�,VMware的應(yīng)用程序接口(API)允許安全供應(yīng)商將Cisco System產(chǎn)品與vSphere整合為一體。
這些供應(yīng)商都致力于將自己的產(chǎn)品直接應(yīng)用到管理程序技術(shù)上來實(shí)現(xiàn)服務(wù)器虛擬化安全性���,從而與支持靜態(tài)服務(wù)器的物理安全性控制一樣精確�。
Konstantas 表示,“我們在操作系統(tǒng)底層和內(nèi)部安裝了管理程序����,這樣我們就不僅能夠?qū)M(jìn)出VM的數(shù)據(jù)包即時應(yīng)用安全性,而且我們還可以全面地監(jiān)測VM的運(yùn)行狀況��。我們可以觀察到VM上的網(wǎng)絡(luò)連接��,它所分配的端口以及網(wǎng)絡(luò)的配置�。我們還可以看到VM內(nèi)部安裝的應(yīng)用及服務(wù)�。” 同時,他還表示����,“我們可以將安全策略應(yīng)用到這些VM上,即使它只是一個將所有的虛擬化服務(wù)器都作為軟件元素運(yùn)行的物理主機(jī)�,我們可以控制它們,就如同Juniper的SRX在物理環(huán)境中進(jìn)行的操作一樣����。”
整合物理網(wǎng)絡(luò)安全和服務(wù)器虛擬化安全是至關(guān)重要的
一個產(chǎn)品能夠運(yùn)行真正的虛擬化安全只是第一步。企業(yè)必須能夠?qū)⑽锢砗吞摂M安全整合為統(tǒng)一的管理點(diǎn)�,這樣安全操作才可以變得更簡單和更自動化�����。
Enterprise Strategy Group資深分析師Jon Oltsik表示��,“你必須將你的虛擬安全工具與物理工具管理整合到一起����,這樣你就可以同時管理物理設(shè)備和虛擬設(shè)備����。你擁有通用的策略管理、通用的策略執(zhí)行���、通用的報告和通用的審計����。如果我有物理的Juniper SRX設(shè)備和虛擬防火墻���,那么我就希望創(chuàng)建一個將它們?nèi)堪趦?nèi)的安全策略����。”