中小企業(yè)如何防范與管理虛擬化安全
隨著虛擬化不斷盛行起來,中小企業(yè)(SMB)逐漸開始加大對虛擬化的投入。由于中小企業(yè)整體實力較為薄弱,資金少,IT基礎(chǔ)設(shè)施不夠健全,因此借用虛擬化技術(shù)來幫助企業(yè)減少開支、提高效率、增強競爭力,就顯得理所當然。可很多人卻只會停留在虛擬化技術(shù)一個層面,并沒有全面考慮到虛擬化技術(shù)所應重視的安全問題。
正所謂“開開心心上班,平平安安回家”,如果僅僅重視虛擬化技術(shù)在中小企業(yè)中的具體應用,而完全忽視了虛擬化應用過程中所帶來的安全問題,則多少有些“五音不全”,畢竟“皮之不存毛將焉附”。
在說明虛擬化安全問題之前,我們先來了解當前虛擬化和虛擬化安全的概括。根據(jù)調(diào)查發(fā)現(xiàn),虛擬化在大部分企業(yè)中并不是IT生產(chǎn)環(huán)境中的標準部署(如下圖)。只有34.2%的企業(yè)對超過50%的IT系統(tǒng)進行了服務器部署,而部署比例達到或者超過70%的企業(yè)只有11.4%。
企業(yè)虛擬化水平
而計劃2012年底前實施虛擬化的應用中,絕大部分都把精力放在服務器虛擬化和存儲虛擬化方面(如下圖)。在2012年底,將有50.8%的企業(yè)會實現(xiàn)超過50%的服務器虛擬化部署,而存儲虛擬化部署的企業(yè)用戶將達33.3%,并且其虛擬化程度也將超過50%。
截止2012年底不同署虛擬化應用部署情形
而在關(guān)于虛擬化安全方面的調(diào)查發(fā)現(xiàn),有19.3%的企業(yè)認為經(jīng)驗和技術(shù)的不足會影響虛擬化安全的規(guī)劃和實施。而在具體的影響虛擬化安全實現(xiàn)的因素當中,預算和前期投入也是一個十分重要的因素,另外虛擬化環(huán)境和平臺的安全管理的復雜性,也是一個突出的問題。當然,這一點也不奇怪,因為安全問題本身是需要前期投入的,因此在部署虛擬化的時候往往容易被企業(yè)用戶忽視。
制約虛擬化安全的因素
其實復雜性問題歸結(jié)為兩點:首先是整體上的復雜性——相比較傳統(tǒng)的物理環(huán)境,虛擬環(huán)境下管理安全性會變得更為復雜。因為虛擬化會促使更多的系統(tǒng)出現(xiàn),應用程序和數(shù)據(jù)會在不同的主機系統(tǒng)之間進行遷移和蔓延。其次是跨虛擬平臺和環(huán)境(不同服務商提供)的安全管理復雜性。異構(gòu)虛擬化環(huán)境下安全管理的支持(根據(jù)現(xiàn)實中虛擬化的地位問題和結(jié)果)是成功部署的關(guān)鍵所在。
#p# 大部分企業(yè)都在尋找某種整合的解決方案,既幫助管理物理環(huán)境,又能幫助管理虛擬環(huán)境。有數(shù)據(jù)顯示,83.8%的企業(yè)偏向于選擇既能滿足物理環(huán)境又能滿足虛擬環(huán)境的管理解決方案。這也就意味著,不存在專為“虛擬化安全”的獨立市場。不過,那些傳統(tǒng)安全廠商可以通過現(xiàn)有IT安 全管理解決方案增加附加值來實現(xiàn)虛擬化安全。
中小企業(yè)對虛擬化安全方案的偏好選擇
另外,有關(guān)虛擬化安全方面的挑戰(zhàn)和問題的重要性,也備受人們的關(guān)注。其中最受人們關(guān)注的是“數(shù)據(jù)蔓延”,比如在沒有得到有效控制的情 形下數(shù)據(jù)遷移至不夠安全的環(huán)境中的風險。有調(diào)查數(shù)據(jù)顯示,41.7%的企業(yè)用戶認為這一點十分重要。緊接著數(shù)據(jù)蔓延的就是完善法規(guī)和審計規(guī)范。
虛擬化安全帶來的挑戰(zhàn)及其重要性
另外,34%的用戶認為IT資產(chǎn)實現(xiàn)虛擬化后的業(yè)務風險評估也非常重要,持有“非常重要”和“重要”觀點的用戶總共大概有78.8%的企業(yè)。這也就意味著,業(yè)務風險和IT風險之間有著緊密的聯(lián)系。
IT基礎(chǔ)設(shè)施的根本性轉(zhuǎn)變,比如基礎(chǔ)設(shè)施實施虛擬化的遷移,可能會對業(yè)務的發(fā)展帶來積極或者消極的影響。因此,了解業(yè)務影響特別是潛在風險——比如此前所提的數(shù)據(jù)蔓延,就會顯得十分重要。
虛擬化安全并不是一個孤立的技術(shù)問題,而是需要根據(jù)業(yè)務需求和風險情況,與現(xiàn)有的IT安全舉措進行集成。因此,中小企業(yè)需要做的是在已有的基礎(chǔ)上進行擴充,而不是專門為虛擬化環(huán)境而重塑安全。然而,未來更好地管理分布式環(huán)境和減輕數(shù)據(jù)和服務器蔓延的風險,需要有某些特定功能來支持。
虛擬化環(huán)境下特權(quán)用戶帶來的風險
上圖中,展示了虛擬化環(huán)境下人們所關(guān)注的第一組問題——特別是特權(quán)用戶帶來的風險問題。特權(quán)用戶指權(quán)限獲得提升的用戶,如管理員、操作員以及技術(shù)用戶和其他類型的用戶。根據(jù)調(diào)查發(fā)現(xiàn),企業(yè)對風險的看法與對此采取的措施存在顯著差異。幾乎有四分之三(73.2%)的企業(yè)關(guān)注hypervisor提供的優(yōu)先特權(quán)以及由此帶來的潛在濫用問題。
Hypervisor的管理帳戶擁有廣泛的特權(quán),由此,它會使得虛擬化環(huán)境出現(xiàn)一個新的攻擊窗口,并可以通過特權(quán)用戶的濫用行為將該窗口進行打開。在虛擬化環(huán)境下,這與權(quán)利的濫用有著十分緊密的關(guān)系——在某些情況下,甚至很難跟蹤到這些特權(quán)用戶的濫用行為。因此,引入PXM (Privileged Account/Identity/User Management,特權(quán)賬戶/身份/用戶管理),在虛擬化和云環(huán)境中顯得更加必不可少,以滿足法規(guī)遵從要求,并減輕這些環(huán)境風險。
#p# 虛擬化安全屬于IT戰(zhàn)略中的一個組成部分,它其實并不是安全解決方案,只是對虛擬化環(huán)境提出了更高更多的管理要求。下面,具體介紹如何實現(xiàn)虛擬化安全:
隔離平臺
虛擬化可以打通一切硬件資源的條塊分割實現(xiàn)互通有無,對于虛擬機來說,它們不能進行相互通信(除非通過網(wǎng)絡),而且資源會受到嚴格控制。對于虛擬交換機來說,不存在網(wǎng)絡共享的機制,但完全具備支持VLAN layer-2交換機的功能。
隔離平臺
隔離平臺的主要目的在于,一旦發(fā)生緊急情況,可以最大程度地避免整個虛擬化環(huán)境系統(tǒng)的破壞,另外,也有助于虛擬化安全管理。在此基礎(chǔ)上,使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。
保護虛擬機
中小企業(yè)虛擬化安全,更多的是需要考慮到虛擬機的安全。用戶需要確保在不同虛擬機之間,用防火墻進行隔離和保護,而且要制定統(tǒng)一規(guī)范 的安全政策,未經(jīng)授權(quán)或者未知來源都一律禁止訪問。在單個虛擬機上(包括物理主機),則需要安裝防病毒工具并保持更新。而對于此前提到過的特權(quán)用戶問題,特別需要注重管理。在利用特權(quán)用戶管理虛擬機的時候,特別要重視虛擬機端口和遠程訪問,禁用不使用的網(wǎng)絡端口,嚴格限制遠程訪問。
尋找專業(yè)技術(shù)顧問
中小企業(yè)部署虛擬化,本身就是一個艱巨浩大的工程,對于這些實力較為弱小的企業(yè)用戶來說,依靠自身力量往往很難對虛擬化環(huán)境進行充分保護。在這樣的情況下,中小企業(yè)可以考慮采用外包的形式,將虛擬化和虛擬化安全統(tǒng)一打包給專業(yè)的第三方進行統(tǒng)一管理。
另外,也需要加強企業(yè)內(nèi)部IT管理員的技術(shù)培訓和規(guī)范操作,強化風險意識和安全觀念,在考慮到虛擬化安全的同時,也不能忽視了物理主機和網(wǎng)絡的安全防護工作。
【編輯推薦】
