——进行服务器虚拟化就意味着要重新考虑你的安全部署

恶意管理程序，颠覆性的虚拟机，实时迁移模仿……欢迎来到精彩的服务器虚拟化世界，在这里你将面临前所未有的全新威胁，传统的安全工具比如防火墙和入侵预防系统对此将无能为力。

不幸的是，在许多企业里，安全战略并没有跟上x86服务器虚拟化的步伐。“许多拥有虚拟化环境的公司没有仔细考虑过他们现在所做的一切将会面临的安全后果，”Forrester的一位分析师John Kindervag这样说。

Gartner的Neil MacDonald对此表示赞同。他说，“有关虚拟安全问题的普遍意识水平并不是太高。”

IT专家们往往认为，由于物理和虚拟服务器在同一个硬件上运行相同的Linux和Windows操作系统，那么只要保证前者的安全，后者也就足够安全。“他们会认为什么都没有改变——这是一个非常危险的错误，”MacDonald解释说。

“当进行虚拟化的时候，你引进了一个新的软件层，所有在这个软件层上运行的Windows和Linux工作负载都会依赖于它的完整性。你需要完成的的首要任务是对这个新层面进行全面认知，并围绕它的配置和漏洞管理建立一个安全的体系，”MacDonald说。

其次，需要弄清楚如何应对网络盲点和虚拟化创建，他补充说。

“那些在物理世界中基于网络的防火墙或者IPS并不能对两台虚拟机之间的网络传输进行检测，”MacDonald解释说，“我们需要回答的问题是，为了对虚拟网络流量进行观察，我们是否需要虚拟服务器内部的安全控制?不论是否需要，你都不得不承认这个网络传输的盲点，在发生问题的时候，比如出现虚拟机入侵事件，你可能会对此毫无察觉。”

很多企业对虚拟服务器的安全并不重视，因为他们不具备成熟的虚拟化部署。当虚拟服务器只是被用来进行运行非关键级和低优先级的应用程序测试或者开发，安全问题似乎并无大碍。

但是，现在的变化是虚拟化层面转移到生产环境中并开始托管执行关键任务的应用程序。虚拟化越根深蒂固，就越需要部署安全技术，尤其是那些对虚拟架构进行保护的安全技术。

新的现实

“我们本来认为物理安全可以做到，但是当我们开始发展虚拟化部署的时候，我们感觉到必须采取主动的措施来保证客户信息的安全，”美国康涅狄州托马斯顿储蓄所副总裁兼网管Patrick Quinn说。

这样做能让银行在虚拟环境下建立安全的网段，就像在物理架构中所做的一样。它使用Catbird Networks的vSecurity TrustZones虚拟安全技术，允许不同信用水平的虚拟机共享同一台主机。

TrustZones让Quinn能够对虚拟机之间的信息流量进行控制。Quinn说他为每一个支行和几个主要办公室都建立了TrustZones。

同样，位于加拿大不列颠省的基洛纳卫生局希望能够将虚拟服务器层纳入自己的整个安全架构，信息安全专家Kris Jmaeff称。

“当然我们的目标之一使虚拟化层面具有可见性，”Jmaeff说，“我们在使用虚拟传感器来检测虚拟服务器世界或者集群中的信息流量这一点上已经有所突破。”

为此，卫生局正在测试惠普TippingPoint的安全虚拟框架，它可以让安全小组对虚拟服务器、位于VMware平台上的虚拟交换机以及虚拟机的变化进行监控，从而确保安全控制不被篡改和损坏。

此外，恢复TippingPoint 虚拟化IPS与来自Reflex Systems的vTrust虚拟安全技术进行了整合。与Catbird的TrustZones相似，Reflex技术可以让用户们创建可信的网段并执行相应的安全策略，能够像监控器一样过滤和控制虚拟机之间的信息流动。

“我们此次测试的目标是为了增加该领域的知识，对系统架构进行深入的了解，同时为我们在以后将要进行的安全开发做一些准备和计划。这是一个很好的学习并且站在虚拟安全最前沿的机会。”Jmaeff说。

分享按钮