摘要:如今,尽管服务器虚拟化技术以爆炸式速度席卷全世界的数据中心,但维护虚拟环境安全的技术却严重滞后。 |
如今,尽管服务器虚拟化技术以爆炸式速度席卷全世界的数据中心,但维护虚拟环境安全的技术却严重滞后。这个事实可能会让某些部署了虚拟化的企业为服务器安全问题而头疼不已。
所有这些威胁方式是当企业部署虚拟环境时,他们使用了一种全新的关键任务元素:管理程序。由于对管理程序的成功攻击会导致对所有托管的工作负载都造成威胁--而对个别虚拟工作负载的成功攻击也会对管理程序造成威胁,因此企业的管理程序应该被认定为关键任务软件并进行适当的安全防护。
在传统的IT环境中,网络流量可以使用一系列服务器安全防护系统来侦测恶意行为以实现监控,检查和过滤。但是虚拟环境的问题是通过虚拟交互及运行的虚拟机之间的通信很大一部分是无形的:它不是通过有线电缆来实现通信,也就无法用正常方式来实施监控,只有一种解决方案可以解决这个问题,那就是必须建立虚拟机到虚拟机的流量可视化和控制。
一个复杂的问题是虚拟数据中心中经常会出现职责的分离。服务器和运营团队通常负责虚拟交换机的配置和管理。几乎或者完全没有综合性的应用工具和安全控制。对于网络和安全团队而言,这会导致实施配置审核可视性的缺失,就很难对拓扑和配置变化进行侦测,网络和安全团队必须掌控访问层的一举一动。以下三种方式可以实现数据中心虚拟化安全这一目标:
1.硬件方式
硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网,配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核,只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。这种方法的不足之处就是在多个数据中心和灾难恢复站点进行复制的成本太高。
2.完全虚拟化的方式
采用这种方式,每个ESX主机都配置了虚拟入侵检测系统和防火墙,每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到,而且当虚拟机在物理主机之间迁移时,安全协议也会随之一起迁移,不过不足之处是这种方式是影响体系架构的性能为代价的。
3.综合方式
这是一种可以大幅度缓解完全虚拟化方式所导致的虚拟受损的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器,虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。
什么是最佳方法?什么是适合企业用户的最佳方法要取决于企业自身的目标和预算以及面对风险的态度。某些成功的解决方案可能会涉及这些三种方法中其中两种方法的结合使用。随着安全公司研发出能提供必备功能的更多产品,构建和实施这些解决方案可能在不久的将来将变得更加容易。
责任编辑:Lionel