技术指南:如何保护数据中心虚拟化安全
晓黎 发表于:10年08月05日 09:13 [编译] 服务器在线
根据Gartner咨询公司的数据统计:从某方面来说,2009年下半年至少有16%的企业级工作负载是在虚拟服务器上运行的,但是这个比例到了2012年有望增长到50%--即以X86为基础的虚拟机将达到大概5800万个。但是Gartner咨询公司也预测称,这些虚拟服务器中大约有60%的安全性要逊于他们所取代的物理服务器。
Forrester研究公司也指出,采用虚拟化管理程序软件的企业中有98%正在使用VMware虚拟化技术。这意味着如果VMware软件被发现存在零日漏洞的话,黑客可能会通过诸如电子邮件,网络或者域名服务器等各种途径来发动攻击。
虚拟服务器的安全性为什么就不如他们所取代的物理服务器呢?考利格所提到的某些导致服务器安全级别较低的原因包括:
*许多服务器虚拟化项目实施之初就没有将安全问题考虑在内
*所有的虚拟工作负载存在虚拟软件受到安全威胁的可能
*不同信任级别的虚拟工作负载通常被整合在单个物理主机上,没有进行足够的隔离
*许多企业对管理程序/虚拟机监管层管理访问的足够控制和管理工具
这些对虚拟环境的实际威胁以管理程序为中心可以划分为几个类别:
黑客攻击:这会涉及对管理程序的干扰或者插入流氓管理程序。由于管理程序是在处理器专属级别上运行的,因为管理程序上运行的任何操作系统都很难甚至不可能侦测到这些威胁。从理论上来说,控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。
虚拟机溢出:会导致虚拟机溢出的漏洞会允许黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。
虚拟机跳跃:与虚拟化溢出类似,虚拟机跳跃会允许攻击从一个虚拟机转而去威胁在同一个物理硬件上运行的其他虚拟服务器。
虚拟机被盗:这是一种用电子方式窃取虚拟机文件然后四处传播和运行的能力。是一种相当于窃取了完整的物理服务器的攻击,而且无需进入安全的数据中心和移除计算设备。
所有这些威胁方式是当企业部署虚拟环境时,他们使用了一种全新的关键任务元素:管理程序。由于对管理程序的成功攻击会导致对所有托管的工作负载都造成威胁--而对个别虚拟工作负载的成功攻击也会对管理程序造成威胁,因此企业的管理程序应该被认定为关键任务软件并进行适当的安全防护,考利格强调说。
在传统的IT环境中,网络流量可以使用一系列服务器安全防护系统来侦测恶意行为以实现监控,检查和过滤。但是虚拟环境的问题是通过虚拟交互及运行的虚拟机之间的通信很大一部分是无形的:它不是通过有线电缆来实现通信,也就无法用正常方式来实施监控。考利格认为只有一种解决方案可以解决这个问题"那就是必须建立虚拟机到虚拟机的流量可视化和控制"。
一个复杂的问题是虚拟数据中心中经常会出现职责的分离。服务器和运营团队通常负责虚拟交换机的配置和管理。几乎或者完全没有综合性的应用工具和安全控制。对于网络和安全团队而言,这会导致实施配置审核可视性的缺失,就很难对拓扑和配置变化进行侦测,考利格强调会所"网络和安全团队必须掌控访问层的一举一动"。
考利格推荐了三种方式来实现这一目标:
1.硬件方式
硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网,配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核,只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。这种方法的不足之处就是在多个数据中心和灾难恢复站点进行复制的成本太高。
2.完全虚拟化的方式
采用这种方式,每个ESX主机都配置了虚拟入侵检测系统和防火墙,每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到,而且当虚拟机在物理主机之间迁移时,安全协议也会随之一起迁移,不过不足之处是这种方式是影响体系架构的性能为代价的。
3.综合方式
这是一种可以大幅度缓解完全虚拟化方式所导致的虚拟受损的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器,虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。
因此什么是最佳方法?考利格表示什么是适合企业用户的最佳方法要取决于企业自身的目标和预算以及面对风险的态度。某些成功的解决方案可能会涉及这些三种方法中其中两种方法的结合使用。
考利格表示,好消息是随着安全公司研发出能提供必备功能的更多产品,构建和实施这些解决方案可能在不久的将来将变得更加容易。