當(dāng)數(shù)據(jù)中心越來越虛擬化時 保護工作該怎么做?(上)
隨著企業(yè)越來越多地投資于虛擬化技術(shù),安全專業(yè)人士都在試圖管理這些環(huán)境中的安全性。
很多公司不得不面對的現(xiàn)實是:虛擬環(huán)境內(nèi)的安全性并沒有達到傳統(tǒng)物理網(wǎng)絡(luò)和系統(tǒng)的標準。
為什么企業(yè)安全團隊遲遲沒有部署必要的政策和流程來安全地管理虛擬化平臺呢?有時候,這是因為不成熟技術(shù)(例如端點安全)不能很好地應(yīng)用在虛擬數(shù)據(jù)中心。在其他情況下,安全團隊可能不知道“他們不知道什么”,或者在部署流程中不夠成熟。
現(xiàn)在越來越多的企業(yè)虛擬化其數(shù)據(jù)中心,在這些環(huán)境中部署基本的安全做法和技術(shù)的需求也在增加。現(xiàn)在有很多可用技術(shù)來幫助IT安全在虛擬基礎(chǔ)設(shè)施部署控制,但安全團隊只是部分地使用這些工具。隨著計算工作負載逐漸增多,安全團隊應(yīng)該認真評估虛擬化專有技術(shù),并更深入地整合到其數(shù)據(jù)中心。
管理不當(dāng)?shù)沫h(huán)境
好消息是,虛擬化可以簡化漏洞修復(fù)和配置管理,但同時也需要嚴格的目錄管理來避免虛擬機泛濫。
在虛擬化環(huán)境中,很多虛擬機位于單個物理系統(tǒng),即所謂的多租戶。管理程序軟件負責(zé)維護虛擬機之間的分隔和隔離。同時,開源或商業(yè)虛擬網(wǎng)絡(luò)和虛擬安全設(shè)備或插件可以輔助這一工作。
在虛擬化環(huán)境中,配置管理其實可以更容易。使用模板可以簡化新虛擬機的部署,模板維護可以幫助集中化配置管理工具和做法到一個位置。微軟、Citrix和Vmware都提供工具和其他辦法來創(chuàng)建和管理虛擬機生命周期以及配置虛擬機生命周期及配置。
雖然漏洞修復(fù)在很多企業(yè)仍然是挑戰(zhàn),但對虛擬機測試補丁通常更容易,因為你可以在測試前對鏡像快照,并在測試完成時回滾到原來的鏡像。
然而,在很多環(huán)境的主要安全問題是缺乏虛擬機相關(guān)的完善的目錄管理。管理員和開發(fā)人員可以很容易地創(chuàng)建虛擬機,這種簡便性導(dǎo)致系統(tǒng)在配置時很少考慮到生命周期管理。有時候虛擬機可能會被暫停或關(guān)閉,并保持休眠一段時間;然而,與這些機器相關(guān)的文件仍然包含敏感數(shù)據(jù)。當(dāng)虛擬機再次啟用時,它們可能已經(jīng)錯過補丁修復(fù)和關(guān)鍵的配置控制。
想要正確管理虛擬環(huán)境的動態(tài)特性,運營團隊需要更新和調(diào)整其變更管理流程來適應(yīng)變化的節(jié)奏,同時考慮虛擬化堆棧中所有組件的依存關(guān)系—存儲、網(wǎng)絡(luò)和虛擬機管理程序。
角色和特權(quán)管理
在虛擬環(huán)境的職責(zé)分離也很困難。有些IT企業(yè)在開始虛擬機部署時,讓現(xiàn)有的管理員和工程師團隊設(shè)計并部署虛擬化技術(shù)。這一團隊通常需要管理虛擬基礎(chǔ)設(shè)施的各個組件,缺乏職責(zé)分離可能導(dǎo)致意外錯誤或者管理不當(dāng)?shù)沫h(huán)境(更不用提當(dāng)某個虛擬化團隊成員變成惡意內(nèi)部人員所造成的問題)。
Vmware管理員使用默認的“管理員”角色執(zhí)行所有管理活動并不是稀罕事。在虛擬環(huán)境中管理存儲和網(wǎng)絡(luò)對象的其他IT管理員通常也會承擔(dān)這一角色,這些管理員通常有著過多的操作權(quán)限。
從網(wǎng)絡(luò)安全方面來看,這種趨勢是明顯的后退。有些企業(yè)正在部署中央接入網(wǎng)關(guān)到其虛擬化管理工具,其中包括更強的的角色和權(quán)限管理。這樣的產(chǎn)品例子是Hytrust設(shè)備—它整合了Vmware的vCenter管理平臺。
流量問題
在虛擬數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)整合也可能導(dǎo)致影響安全的問題。由于所有虛擬機都共享硬件,虛擬機管理程序服務(wù)器或刀片服務(wù)器中的網(wǎng)絡(luò)接口數(shù)量可能會決定網(wǎng)絡(luò)流量的融合程度。
大多數(shù)虛擬環(huán)境包含正常的生產(chǎn)流量,以及管理流量來訪問和操作虛擬化組件的存儲流量(例如iSCSI或光纖通道)。此外,還有操作流量,例如動態(tài)虛擬機遷移(在Vmware環(huán)境中被稱為vMotion)。
vMotion流量包含以文本形式發(fā)送的虛擬機(VM)內(nèi)存內(nèi)容,這可能包括敏感數(shù)據(jù)和身份驗證憑證。管理流量可能包括配置詳細信息或?qū)粽哂杏玫钠渌畔ⅰ_@些信息與生產(chǎn)流量混雜可能會增加數(shù)據(jù)在環(huán)境內(nèi)暴露機會,如果攻擊者成功入侵環(huán)境,這可能導(dǎo)致數(shù)據(jù)泄露。現(xiàn)在很少企業(yè)會完全區(qū)別對待虛擬數(shù)據(jù)中心的所有這些數(shù)據(jù)類型。
