摘要::黑客可以有很多种获得虚拟架构访问权的途径。正如我们在本系列第一篇文章中提到的,虚拟化层的出现也引入了更多的可攻击点,因此需要针对宿主机和每个虚拟机个体加强安全防护。 |
这些攻击点包括虚拟磁盘文件、登录终端甚至是虚拟机本身。但是有一点也不容忽视:网络。为降低这种风险,遵循如下的虚拟网络安全最佳实践就非常关键。本文中,我将涉及一些主要策略。
网络隔离
虚拟网络安全的核心是隔离。每台宿主机都有管理网络,通过它跟其它的主机和管理系统通讯。在虚拟架构中,管理网络应该实现物理上和虚拟上的隔离。所有的宿主机、客户端和管理系统应该位于独立的物理网络上以确保安全。对于宿主机的管理网络还应该创建独立的虚拟交换机,而且永远不要把虚拟交换机流量和普通虚拟机网络流量混合到一起。虽然这么做也不能保证可以覆盖虚拟交换机所有的潜在风险,但起码是一个重要的开始。
除了隔离,还有一些其它的虚拟网络安全实践。您应该注意过用于支持虚拟机从一台主机到其它宿主机在线迁移功能的VMkernel网络是以非加密方式传输的。这也就意味着在线迁移过程中可能数据会被以“sniff”方式获取或遭到人为攻击。当您把宿主机暴露于非保护域或DMZ时,要更加小心。所以,最好创建带有独立物理网卡的分离vSwitch,而且永远不要把内部流量和外部流量在同一个vSwitch上混合。同样,锁定到虚拟机的访问权限以确保:(1)攻击者无法把虚拟机从某个网络上迁移出来(2)虚拟机不会横跨内网和外网。
在虚拟环境中传统物理网络被延伸到宿主机中成为虚拟网络,原有的物理网络安全设备和应用通常就失效了。多数情况下,这些设备无法检测到位于宿主机内部的网络流量(因为它们天生的物理属性限制)。另外,物理的入侵检测和防护系统也无法保护虚拟机。
对于完善的虚拟网络安全策略而言,需要使用专为虚拟架构而设计的安全应用,并且把它们直接植入到虚拟网络层中。这包括网络入侵检测和防护系统、监控和报告系统,以及设计来保护虚拟交换机和隔离虚拟机的虚拟防火墙软件。而且可以把物理和虚拟网络安全整合起来考虑,提供对数据中心全方位的保护。
如果您使用了iSCSI或NFS等网络存储设备,要使用正确的认证方式。对于iSCSI而言,双向的CHAP认证是最佳的。而且要确保存储流量是物理上隔离的,因为它也是非加密的传输方式。任何可以访问该网络的人员都可能监听和重建文件、改变数据传输或者是破坏它。
企业在实施虚拟化战略时,需要把安全放在最重要的位置。如果企业能够确保虚拟环境是整个网络架构的一部分,并且在所有网络里面执行始终如一的安全策略,就有望大大减少网络安全威胁。只有重视上述要考虑的因素,企业才能够受益于这项创新技术,同时又不会面临不必要的风险。
虚拟网络安全的最佳实践不同于传统物理网络,因此需要考虑所有可能的被攻击点。如果您对虚拟安全的关注只停留在个别点上,那么攻击者很可能通过某个未知领域偷偷地溜进来。
责任编辑:handsome