你是否需要在虚拟服务器内部署防火墙或者入侵防御系统来查看虚拟网络流量?
恶意管理程序、破坏性虚拟机、实时迁移模拟器等欢迎来到服务器虚拟化世界。在服务器虚拟化世界,威胁都是新的,防火墙和入侵防御系统这些传统安全工具不再能够阻止威胁。
不过,在很多企业,安全策略并没有因为转移到x.86服务器虚拟化而发生改变。“很多企业都有虚拟环境,但是却没有对这些虚拟化部署任何相应的安全措施,完全没有考虑后果,”Forrester研究所分析师John Kindervag表示。
Gartner研究所的Neil MacDonald也同意这样的说法:“企业对于虚拟化安全问题的认识完全没有达到预期的水平,甚至远远不够。”
对于这些企业来说,他们的IT专业人士往往是这样看待的:由于物理服务器和虚拟服务器都是在相同的硬件上运行相同的Linux和Windows 操作系统,那么为前者部署的安全措施肯定也适用于后者,“他们认为一切都没有改变,而这是一个致命的错误,”MacDonald表示。
“当你选择虚拟化时,你就引入了一种新层面的软件,在其上运行的Windows和Linuc系统的所有工作负载都依赖于它的完整性。首先也是你需要做的最重要的事情就是认识这个新层面,并围绕这个新层面的配置和漏洞管理部署基本的安全防御措施,”MacDonald表示,“这是最基本的安全问题,也是有待解决的安全问题。”
其次,IT部门需要弄清楚如何处理虚拟化制造的网络安全盲点,他补充说。
“我们在物理环境部署的基于网络的防火墙或者入侵防御系统完全无法查看在相同硬件中部署的两台虚拟机之间传输的流量,”MacDonald表示,“我们需要回答的问题是:我们需要在虚拟服务器内部署安全控制来查看虚拟网络流量吗?也许你已经部署了安全控制,也许你没有,但是你必须意识到物理环境的安全控制无法查看虚拟环境的流量,如果虚拟环境发生安全问题,例如内部虚拟机攻击,你将无法察觉。”
很多企业并没有侧重于虚拟服务器安全,因为他们的虚拟化部署并不成熟。并且虚拟服务器只是被用来测试和开发的目的或者用来运行不重要的低优先级别的应用程序,让企业感觉安全并不是那么重要。
但是当虚拟层转移到生产环境来承载关键任务应用程序时,安全问题就变得很重要。随着虚拟化环境应用的不断深化,围绕虚拟环境部署专为保护虚拟基础设施的安全技术的需求也随之加强。
认清这个事实
“我们曾经认为物理安全能够保护虚拟环境的安全,但是随着虚拟化部署的不断深化,我们感觉到我们必须确保采取积极主动的安全措施来保护客户重要信息,”Thomaston Savings银行的助理副总裁和网络管理员Patrick Quinn表示。
为了确保虚拟环境的安全,该银行在虚拟环境中建立了安全网络段,并部署了与物理环境中等量的安全措施。他们使用Catbird Networks的vSecurity TrustZones虚拟安全技术,允许不同信任级别的虚拟机共享一个主机。
TrustZones可以让Quinn根据安全政策来控制虚拟机间传输的流量,例如,Quinn表示他为每个分公司建立了信任区,也为总部建立了几个信任区。
同样的,英国的医疗卫生机构Interior Health Authority则希望在其整体安全架构中植入虚拟服务器层,信息安全专家Kris Jmaeff表示。
“当然,我们的主要目的之一就是希望能够扩大虚拟化层内的能见度,”Jmaeff表示,“在虚拟服务器环境中,我们主要有几个区域需要使用虚拟传感器来检测流量。”
为此,Interior Health医疗机构政策测试惠普TippingPoint的安全虚拟框架(Security Virtual Framework),该框架可以允许安全团队来检测vSwitch(虚拟机平台内的虚拟交换机)以及虚拟机变化来确定篡改或者安全控制的破坏。
此外,惠普公司TippingPoint虚拟入侵防御系统还整合了来自Reflex系统公司的vTrust虚拟安全技术。与TrustZones类似的是,Reflex技术可以帮助用户框架可信任网络段并执行安全政策,以及监测、过滤和控制虚拟机到虚拟机的流量。
“我们对测试版进行测试的主要目的是为了加强我们对虚拟安全技术的认识,更加深入的了解基础设施,并对我们将来要 Catbird和 Reflex是专攻虚拟服务器安全的两家公司,另外涉足虚拟服务器安全技术的新公司还包括Altor Networks、Apani和HyTrust,以及很多成熟的安全厂商:例如惠普TippingPoint,还有提供访问权限控制和登录管理等安全功能的CA技术公司;提供虚拟防火墙技术的check Point软件公司;与Altor有战略合作关系的Juniper网络公司;提供入侵防御系统技术的IBM公司以及收购了虚拟安全公司Third Brigade公司的趋势科技公司。
“随着大公司的加入,这预示着市场对这类产品确实存在需求。一切只是时间问题,在不久的将来,这些公司都会提供各种虚拟化安全产品,”Gartner研究公司的MacDonald表示。
这听起来似乎很合乎逻辑:通过部署入侵防御系统或者防病毒软件,我们应该能够像保护物理服务器一样保护管理程序层。
但是MacDonald不同意这个观点,“我不相信你需要在管理程序中运行入侵防御系统或者防病毒软件的副本,这将会破坏管理层被弄薄且被硬化的整个目的。相反的,良好的配置、漏洞和补丁管理政策就足以确保管理程序层的安全,而不需要加入入侵防御系统或防病毒软件,”MacDonald表示。
