随着将关键业务应用和敏感的数据不断迁移至虚拟基础设施,越来越多的组织正在评估并部署虚拟化安全设备与工具。而安全工具与应用在虚拟化环境中通常是无效的,因此为了确保虚拟环境的安全,必须使用专门为虚拟化环境而开发的工具。那么,虚拟服务器安全性为什么就不如他们所取代的物理服务器呢?
虚拟化安全尤为重要。导致服务器安全级别较低的原因包括:
许多服务器虚拟化项目实施之初就没有将虚拟化安全问题考虑在内;所有的虚拟工作负载存在虚拟软件受到安全威胁的可能;不同信任级别的虚拟工作负载通常被整合在单个物理主机上,没有进行足够的隔离;许多企业对管理程序/虚拟机监管层管理访问的足够控制和管理工具;这些对虚拟环境的实际威胁以管理程序为中心可以划分为几个类别:
虚拟机溢出:会导致虚拟机溢出的漏洞会允许黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。
虚拟机跳跃:与虚拟化溢出类似,虚拟机跳跃会允许攻击从一个虚拟机转而去威胁在同一个物理硬件上运行的其他虚拟服务器。
黑客攻击:这会涉及对管理程序的干扰或者插入流氓管理程序。由于管理程序是在处理器专属级别上运行的,因为管理程序上运行的任何操作系统都很难甚至不可能侦测到这些虚拟化安全威胁。从理论上来说,控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。
虚拟机被盗:这是一种用电子方式窃取虚拟机文件然后四处传播和运行的能力。是一种相当于窃取了完整的物理服务器的攻击,而且无需进入安全的数据中心和移除计算设备。
所有这些威胁方式是当企业部署虚拟化安全环境时,他们使用了一种全新的关键任务元素:管理程序。由于对管理程序的成功攻击会导致对所有托管的工作负载都造成威胁--而对个别虚拟工作负载的成功攻击也会对管理程序造成威胁,因此企业的管理程序应该被认定为关键任务软件并进行适当的安全防护。
在传统的IT环境中,网络流量可以使用一系列服务器安全防护系统来侦测恶意行为以实现监控,检查和过滤。但是虚拟环境的问题是通过虚拟交互及运行的虚拟机之间的通信很大一部分是无形的:它不是通过有线电缆来实现通信,也就无法用正常方式来实施监控。考利格认为只有一种解决方案可以解决这个问题"那就是必须建立虚拟机到虚拟机的流量可视化和控制"。
一个复杂的问题是虚拟数据中心中经常会出现职责的分离。服务器和运营团队通常负责虚拟交换机的配置和管理。几乎或者完全没有综合性的应用工具和安全控制。
对于网络和安全团队而言,这会导致实施配置审核可视性的缺失,进而虚拟化安全受到损害。就很难对拓扑和配置变化进行侦测,考利格强调会所"网络和安全团队必须掌控访问层的一举一动"。
考利格推荐了三种方式来实现这一目标:
综合方式
这是一种可以大幅度缓解完全虚拟化方式所导致的数据中心安全的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器,虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。
硬件方式
硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网,配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核,只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。
完全虚拟化的方式
采用这种方式,每个ESX主机都配置了虚拟入侵检测系统和防火墙,每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到,而且当虚拟机在物理主机之间迁移时,安全协议也会随之一起迁移,不过不足之处是这种方式是影响数据中心安全架构的性能为代价的。
编辑:Andly