保衛虛擬化安全,企業該選哪把槍?
原創【51CTO.com快譯自8月17日外電頭條】服務器虛擬化橫掃了數據中心,但有個事實卻讓人心寒,那就是人們在設計、測試或部署服務器虛擬化的過程中很少考慮到安全性。這個問題事關重大,因為物理世界中的傳統安全策略和做法在虛擬世界中完全不同。
虛擬化安全需要防衛的槍
物理世界的安全往往與“物理”屬性緊密聯系,比如MAC地址、服務器身份識別和IP地址等等,而這些在虛擬機中不能起到作用。另外企業的安全工作人員和虛擬機管理員一般不會在一起工作,無法共同設計并實施高效安全的虛擬化底層架構,這讓事情變得更糟。
結果是hypervisor和虛擬層終將受到損害。hypervisor不像我們聽到的那么神奇,它也只是軟件,沒有任何軟件不會出現錯誤或漏洞。從51CTO.com以往的報道可以看出,安全減緩服務器虛擬化發展已經成為了現實。
企業可能會給自己帶來漏洞。同一臺物理主機上的虛擬機可以相互通訊,而防火墻和入侵檢測系統無法檢查它們之間傳送的數據。如果攻擊者占領了一臺虛擬機,就可以用它作為基地來入侵同一臺服務器上的其他虛擬機。
無意之間,敏感的企業數據可能就會處在危險之中。比如虛擬機的轉移經常會自動化完成,這可能會讓一些帶有企業數據庫的虛擬機轉移到不安全的物理服務器。還有為快速測試網絡服務器而建立的一些沒有補丁也未經監測的虛擬實例可能會與關鍵的虛擬機存在于同一虛擬局域網中,這就為滲透攻擊帶來了機會。51CTO.com曾經提醒過您,如果您的單位使用了服務器虛擬化技術,我們作為IT管理者,經常想的一個問題就是如何維護好虛擬化環境的健康與安全?
安全專家和虛擬化管理員要對付的問題有一長串。業界也認識到服務器虛擬化安全問題關系重大,而且可能壓制虛擬化的發展,因此也正在著力采取步驟,使虛擬機間和虛擬機內部的數據交通變得更加可見,更加安全。
其中名聲最響的努力來自于VMware,它的ESX hypervisor統治了服務器虛擬化市場。VMware在2008年春天宣布推出VMsafe項目,提供一套在hypervisor層和監測層運行的安全API,安全廠商可以通過API監測虛擬世界的所有活動并執行安全政策。
虛擬化安全,大家都有槍
許多創業公司和規模較小的廠商最早采用了VMsafe,比如Altor Networks、Catbird Networks和Reflex Security,它們使用API提供了各種虛擬化安全產品。
例如,上個月Altor發布了新版本的Altor VF軟件,使用VMsafe的API在hypervisor內部運行防火墻模塊,這樣所有的流量在到達虛擬機之前都要通過Altor的防火墻。這使安全策略更加嚴格,為安全專家和管理員提供了一個監測層。
今年3月份,Catbird發布了VMShield 2.0,為虛擬機創造安全區域通過比如拒絕虛擬機與面向網絡服務器的應用相連接。軟件的最新版本添加了跟蹤功能,管理員可以在物理服務器之間遷移虛擬機時確保各項安全策略。
而傳統的大供應商則在接受VMsafe時顯得動作比較慢。例如RSA今年展示了基于VMsafe的概念產品,集成了數據丟失防護、用戶訪問驗證和其他功能。不過至少要到明年RSA才會推出這個產品。
虛擬化安全,各廠商亮劍出槍
VMware并沒有把虛擬化安全的工作完全留給第三方廠商(實際上,就在不久之前,VMware還推出了新產品 提升數據中心安全性)。VMware的vShield Zones也提供了類似Catbird的功能。vShield允許企業在VMware環境中創建邏輯隔離,理想的消除了主機和虛擬機集群的物理隔離問題。增加的管理層功能有助于限制虛擬機的遷移,防止出現不符合遵從性的虛擬或物理設定。
此外,VMware最近還收購了專業的虛擬化安全企業Blue Lane Technologies。通過建立自己的一系列安全產品以及通過VMsafe幫助第三方提供安全底層架構建設,VMware正在尋求實現全面的安全環境。
當然,VMware的行動也招來了一些爭議,尤其是來自競爭對手。比如Citrix的首席技術官Simon Crosby,這位喜歡直話直說的開源倡導者認為私有化的VMsafe API并不是企業的好選擇,他認為更開放的社區模式會更好,這樣能夠更好的搜索代碼中的缺陷和漏洞。同樣是提供虛擬化安全API,Crosby認為Citrix建立的開源Xen社區做的要更好些(51CTO.com提醒關注Citrix虛擬化技術方面的朋友請參閱:Citrix虛擬化動態遷移技術XenMotion介紹)。
Citrix也在努力為其XenServer hypervisor提供更多的安全功能(51CTO.com提醒您參閱:Citrix將發布Citrix Essentials免費版本)。隨著6月份發布XenServer,Citrix的hypervisor基本做到了與VMware ESX旗鼓相當。同時,微軟和最近被Oracle收購的Virtual Iron也正在努力縮小與VMware和Citrix的差距。
對于企業來說,最好是在虛擬化的提議一開始就將各方人員集合在一起,包括安全、底層架構與虛擬機的管理員。可能會出現激烈的摩擦,但是企業虛擬化的部署必須要求安全與可擴展的底層架構,要做到這點,相關的各方必須攜起手來共同工作。
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Strategic Security: Server Virtualization 作者:Joe Hernick
【編輯推薦】
