解决服务器虚拟化制造的网络安全盲点

你是否需要在虚拟服务器内部署防火墙或者入侵防御系统来查看虚拟网络流量?

恶意管理程序、破坏性虚拟机、实时迁移模拟器等欢迎来到服务器虚拟化世界。在服务器虚拟化世界,威胁都是新的,防火墙和入侵防御系统这些传统安全工具不再能够阻止威胁。

不过,在很多企业,安全策略并没有因为转移到x.86服务器虚拟化而发生改变。“很多企业都有虚拟环境,但是却没有对这些虚拟化部署任何相应的安全措施,完全没有考虑后果,”Forrester研究所分析师John Kindervag表示。

Gartner研究所的Neil MacDonald也同意这样的说法:“企业对于虚拟化安全问题的认识完全没有达到预期的水平,甚至远远不够。”

对于这些企业来说,他们的IT专业人士往往是这样看待的:由于物理服务器和虚拟服务器都是在相同的硬件上运行相同的Linux和Windows操作系统,那么为前者部署的安全措施肯定也适用于后者,“他们认为一切都没有改变,而这是一个致命的错误,”MacDonald表示。

“当你选择虚拟化时,你就引入了一种新层面的软件,在其上运行的Windows和Linuc系统的所有工作负载都依赖于它的完整性。首先也是你需要做的最重要的事情就是认识这个新层面,并围绕这个新层面的配置和漏洞管理部署基本的安全防御措施,”MacDonald表示,“这是最基本的安全问题,也是有待解决的安全问题。”

其次,IT部门需要弄清楚如何处理虚拟化制造的网络安全盲点,他补充说。

“我们在物理环境部署的基于网络的防火墙或者入侵防御系统完全无法查看在相同硬件中部署的两台虚拟机之间传输的流量,”MacDonald表示, “我们需要回答的问题是:我们需要在虚拟服务器内部署安全控制来查看虚拟网络流量吗?也许你已经部署了安全控制,也许你没有,但是你必须意识到物理环境的安全控制无法查看虚拟环境的流量,如果虚拟环境发生安全问题,例如内部虚拟机攻击,你将无法察觉。”

很多企业并没有侧重于虚拟服务器安全,因为他们的虚拟化部署并不成熟。并且虚拟服务器只是被用来测试和开发的目的或者用来运行不重要的低优先级别的应用程序,让企业感觉安全并不是那么重要。

但是当虚拟层转移到生产环境来承载关键任务应用程序时,安全问题就变得很重要。随着虚拟化环境应用的不断深化,围绕虚拟环境部署专为保护虚拟基础设施的安全技术的需求也随之加强。

认清这个事实

“我们曾经认为物理安全能够保护虚拟环境的安全,但是随着虚拟化部署的不断深化,我们感觉到我们必须确保采取积极主动的安全措施来保护客户重要信息,”Thomaston Savings银行的助理副总裁和网络管理员Patrick Quinn表示。

为了确保虚拟环境的安全,该银行在虚拟环境中建立了安全网络段,并部署了与物理环境中等量的安全措施。他们使用Catbird Networks的vSecurity TrustZones虚拟安全技术,允许不同信任级别的虚拟机共享一个主机。

TrustZones可以让Quinn根据安全政策来控制虚拟机间传输的流量,例如,Quinn表示他为每个分公司建立了信任区,也为总部建立了几个信任区。

同样的,英国的医疗卫生机构Interior Health Authority则希望在其整体安全架构中植入虚拟服务器层,信息安全专家Kris Jmaeff表示。

“当然,我们的主要目的之一就是希望能够扩大虚拟化层内的能见度,”Jmaeff表示,“在虚拟服务器环境中,我们主要有几个区域需要使用虚拟传感器来检测流量。”

为此,Interior Health医疗机构政策测试惠普TippingPoint的安全虚拟框架(Security Virtual Framework),该框架可以允许安全团队来检测vSwitch(虚拟机平台内的虚拟交换机)以及虚拟机变化来确定篡改或者安全控制的破坏。

此外,惠普公司TippingPoint虚拟入侵防御系统还整合了来自Reflex系统公司的vTrust虚拟安全技术。与TrustZones类似的是,Reflex技术可以帮助用户框架可信任网络段并执行安全政策,以及监测、过滤和控制虚拟机到虚拟机的流量。

“我们对测试版进行测试的主要目的是为了加强我们对虚拟安全技术的认识,更加深入的了解基础设施,并对我们将来要部署的安全措施进行提前规划和设计。这是我们学习和了解虚拟安全最前沿技术的好机会,”Jmaeff表示。

Catbird和Reflex是专攻虚拟服务器安全的两家公司,另外涉足虚拟服务器安全技术的新公司还包括Altor Networks、Apani和HyTrust,以及很多成熟的安全厂商:例如惠普TippingPoint,还有提供访问权限控制和登录管理等安全功能的CA技术公司;提供虚拟防火墙技术的check Point软件公司;与Altor有战略合作关系的Juniper网络公司;提供入侵防御系统技术的IBM公司以及收购了虚拟安全公司Third Brigade公司的趋势科技公司。

“随着大公司的加入,这预示着市场对这类产品确实存在需求。一切只是时间问题,在不久的将来,这些公司都会提供各种虚拟化安全产品,”Gartner研究公司的MacDonald表示。

这听起来似乎很合乎逻辑:通过部署入侵防御系统或者防病毒软件,我们应该能够像保护物理服务器一样保护管理程序层。

但是MacDonald不同意这个观点,“我不相信你需要在管理程序中运行入侵防御系统或者防病毒软件的副本,这将会破坏管理层被弄薄且被硬化的整个目的。相反的,良好的配置、漏洞和补丁管理政策就足以确保管理程序层的安全,而不需要加入入侵防御系统或防病毒软件,”MacDonald表示。

Forrester研究所的Kindervag表示,“他们表示,在现代网络中,有40%的问题是与配置或者其他类型的人为错误而导致的,这使我相信,从这一点来看,如何进行安全管理比管理程序安全更加重要。”

“现在供应商们真正谈论的是如何保护虚拟机以及虚拟机间的通信流量,就像保护物理环境中的工作负载一样,”MacDonald表示,“当你在考虑整合位于相同物理服务器上不同信任级别的虚拟工作负载时,这显得尤为重要,你会需要这种能见度、隔离以及政策执行。”

当在评估虚拟安全产品时,MacDonald建议选择那些能够在虚拟环境内有效运行,并且已经整合到来自微软、VMware和基于Xen虚拟化的供应商的虚拟化框架的虚拟安全产品。就其本身而言,虚拟化巨头Vmware公司是通过其Vmware API提供虚拟安全运营的能见度。

“现在约有7家主要安全厂商已经成为Vmsafe的合作伙伴,他们开发了虚拟化的网络和端点解决方案,这些解决方案以特殊的方式结合高安全性在管理程序中运行,”Vmware公司服务器部门的产品营销高级主管Venu Aravamudan表示。

但是这只是开始,今年早些时候,在2010年RSA大会上,Vmware展示了其对下一代虚拟服务器安全技术的设想,并且与趋势科技公司一起展示了在主机上运行防病毒处理的过程,而不是像现在的产品那样在虚拟机上处理。

“一旦这项技术变成显示,我们将不需要在每个虚拟机中都有一个代理,这意味着更好的性能、更易于管理、更低的成本等,”Aravamudan表示。

这也意味着新的功能,“这种模式还将滋生这些解决方案:例如能够检测在文件管理程序中运行的rootkit,发现虚拟机中的信用卡和其他重要信息,并能够检查文件的完整性,”他表示。

将安全纳入规划和设计阶段

美国最大的区域投资公司之一的Morgan Keegan公司是少数几家部署了适宜虚拟安全技术的公司之一,“我们现在基本上没有什么安全问题,从我们在虚拟环境部署的安全技术来看,”系统工程师Luke McClain表示。

这是应该是因为Morgan Keegan公司从虚拟化安全项目的第一天起就考虑了安全问题,该公司已经将75%的服务器基础设施进行虚拟化,大约有515台虚拟机运行3个数据中心的52台Vmware ESX主机上。

此前,该公司某个特定的IT运营目破坏了虚拟环境中的传统防火墙,“我们以为我们能够使用物理环境中的安全技术来保护虚拟环境,并且能够妥善管理,”Morgan Keegan公司网络系统工程总监Parker Mabry表示。

这需要与信息安全部门的密切规划,将虚拟防火墙与物理防火墙进行对比,“他们将所有功能进行了对比,例如日志记录、取证以及锁定机器的深度和粒度等,”Mabry表示。

“通常企业信息安全部门的反应都是‘不行!’,预算太紧张,”他表示,“所以我们需要让信息安全部门看到在虚拟环境使用虚拟防火墙带来的绝对利益。”为了硬化虚拟DMZ(隔离区),Morgan Keegan使用的是Reflex公司的vTrust安全产品。

从操作角度来看,该公司通过严格的身份验证来确保虚拟机的安全。通过使用Vmware公司的vCenter虚拟化管理工具以及管理界面,“我们非常清楚哪些人有权利访问哪些虚拟机,并密切跟踪隔离区环境的情况。”

Vmware公司鼓励其合作伙伴和现场服务机构以确保所有企业将安全纳入规划和设计阶段,就像Morgan Keegan公司一样。

安全第一的做法对于刚开始进行虚拟化或者仅在某些情况使用虚拟化技术的企业来说并不常用,不过较大型的企业必须做到这一点,才能够确保长久的安全。

“尤其是对于那些有大量工作负载部署在虚拟服务器上的企业,必须在最佳做法和安全增强指导中增加安全原则。他补充说。”

Vmware公司认为,虚拟化为企业节省了大量的成本并提高了经济效益,在安全方面,虚拟化也必然要耗费更多。“这肯定是我们的目标之一,我们已经开始证明这一点,即基于虚拟环境的安全将比现在部署的物理安全更好。”

Gartner研究所的MacDonald表示赞同,“我们可以清楚地看到,虚拟化本身并不是不安全的,但是现在虚拟化没有得到安全地部署。不过这个问题在未来三到四年内将会得到改善,随着IT工作人员、供应商、工具和技术的不断成熟,”他表示,“人们将会开始安全部署虚拟化,甚至比他们在物理环境中部署的虚拟化更安全。”