虛擬安全管理幫你保護基礎設施
虛擬化以很高的效率改變了我們管理IT的方式。但虛擬化不只帶來了眾多優勢,同樣存在獨一無二的安全風險。簡單說,和物理服務器相比,保護虛擬資產存在更多的困難,需要專門的工具以及培訓才能管好。
整合使得虛擬資產成為了特別吸引黑客和網絡安全攻擊的目標。與物理服務器相比,虛擬化同樣面臨著更大的故障、服務中斷的風險。然而,采用適當的技術、工具以及方法,可以避免虛擬環境受到故障、惡意活動的影響。
本文介紹常見的虛擬化風險以及如何處理虛擬安全管理問題。
注意數據盜竊危險
服務器虛擬化主要的優勢之一是與物理服務器相比,虛擬環境的攻擊平面更小。也就是說虛擬化最大的問題之一是不需要授權同意就可以快速構建并部署虛擬實例。盡管單臺惡意服務器不太可能搞壞整個基礎設施,但可能會給基礎設施的穩定性帶來嚴重的風險。避免這類風險的最佳方式是準確地了解環境現狀,但往往是知易行難。
虛擬環境更容易受數據盜竊的影響因為竊賊很容易就能夠在運行系統上克隆數據并不會影響原服務器。同樣存在數據被破壞的問題。由于虛擬機是文件集合,在拷貝數據時同樣很容易被檢測到。正因為如此,為數據中心評估、選擇虛擬安全管理系統時一定要將可用性與冗余性牢記于心。
不要忽略常見的安全問題
管理員往往僅依靠備份、防火墻、密碼以及安全工具保護數據中心,但這種方式解決不了所有問題。上述措施聚焦于虛擬終端卻忽略了虛擬軟件與硬件之間復雜的關系。系統中斷與故障難以避免而且時常會發生。因此,主要的目標應該不是完全避免故障,而是緩解由于系統中斷帶來的破壞。
起點是進一步了解底層的硬件。如果硬件冗余設計很困難,在多個技術領域之間沒有冗余,那么數據中心就變得很脆弱了。考慮為服務器配置雙電源以減少硬件出故障的風險并增加可用性。
即使是全冗余的基礎設施也有可能出故障,因此你還應該確保有充足的故障切換配置——不只是活動目錄與NTP服務器,還有入侵檢測系統,動態更新的防火墻與準確的技術文檔。六個九的可用性可能很難達到,對某些組織來說不可能實現,但對軟硬件進行調整能夠大大降低系統中斷的影響。
關注內部事件
談到虛擬安全管理,有時最大的風險來自內部。員工尤其是虛擬化管理員在工作中出錯很可能就會使虛擬環境容易遭受網絡攻擊。這是個復雜的問題—這個問題可以追溯到虛擬化初期。
組織過去基于運維職責,如網絡、存儲或者遠距通信將數據中心員工劃分成多個小組。隨著時間的推移,組織整合了這些分散的小組,創建了全新的角色,包括虛擬化管理員。現在,越來越多的技術納入到了虛擬化管理員的涉獵范疇,這可能是個問題。如果虛擬化管理員出錯造成的影響要比之前低級別員工大得多。
組織有很多方法避免這些潛在的問題,先從進一步打破壁壘開始。通過允許其他專業管理員完成之前通常由虛擬化管理員完成的任務,你可以更加徹底地保護基礎設施。下一件事是部署合規性軟件,允許你創建定制策略以避免虛擬環境使用不當。最后可能也是最重要的是一切形成文檔。確保虛擬化管理員從第一天開始詳細記錄如何運維整個環境,這樣如果他離開公司,繼任者不會一頭霧水。
網絡攻擊防護
在虛擬化領域,針對網絡攻擊并沒有放之四海而皆準的答案。創建真正有效的網絡安全策略的關鍵是采取多種方式保護虛擬機與虛擬化堆棧。首先從防護虛擬主機開始。這樣做的一種方式是限制物理訪問主機服務器與存儲,這樣可以避免非授權用戶危害主機上的虛擬機。作為一個附加措施,你可以在活動目錄森林中放置主機服務器與虛擬管理服務器。這減少了哈希傳遞攻擊—設計用于竊取哈希用戶證書并欺騙認證系統的網絡攻擊。
改進虛擬機安全性同樣有很多種方式。例如,可以對虛擬機進行分組。這樣一來高安全性虛擬機就不會錯誤地與低安全性虛擬機部署在同一臺主機上了。你還可以借助網絡虛擬化保護虛擬機,使用前端與后端拓撲以及流量隔離以確保特定的虛擬機從不會保留在網絡流量中。最后,一定要檢查hypervisor的安全性建議以查看你應該采取哪些額外的措施保護虛擬機。
虛擬機管理軟件存在差異
你可以將世界上所有的安全軟件安裝在數據中心中,但如果軟件沒有實時更新,那么虛擬基礎設施仍舊存在風險。老掉牙的工具無法查看虛擬機、網絡及相關配置,這樣就會將基礎設施置于相當顯著的安全盲點。與大型組織相比,小型組織受這類影響的可能性更大,因為小型組織往往采用新虛擬化安全管理工具的動作往往更慢。
如果無法升級或者替代現有的虛擬化安全管理系統,你還需要采取一些步驟以確保基礎設施的安全性,比如確保防惡意軟件、主機防火墻以及其他現有的工具能夠感知虛擬化。然而,如果你正在市場上尋求全新的管理軟件,要確保選擇能夠提供資產跟蹤、目錄控制以及變更管理的管理系統。為了實現安全的最大化,你還應該對虛擬機遷移工具進行評估以確保將所有的配置詳細信息轉移到目標服務器,這樣在遷移過程中虛擬機就不會暴露在外部網絡中。
