虚拟化安全规划:替换实体分隔技术

虚拟化逐渐脱离数据中心,网络和服务器管理员们必需得实施一种全新的虚拟化安全规划来保证核心应用程序在虚拟机上的稳定运行,可能还会需要一组相互结合的安全工具。

美国新墨西哥州公共事业部门有160台Dell服务器,当其中的80%虚拟化后,IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机(VM)的迁移,会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统 (IDS/IPS)无法与虚拟设置兼容。

所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划,在虚拟化设置内登录以及进行防火墙管理。他还部署了一种将基于网络的策略管理的 HyTrust设备与Altor Networks的虚拟防火墙登录结合的策略。并对记者编辑Rivka大致讲述了其经验。

记者:在数据中心内部实施虚拟化,您想要达到什么样的目标?

Gurusimran Khalsa:从根本上来说,我们想要的就是虚拟化所能带来的传统意义上的利益,比如缩减成本,系统融合,管理的便捷性等,还包括一些如vMotion、快照、备份或者复制的便利,我们希望能够实现所有这些好处。

但其中的挑战之一就是安全性。我们曾创造过一个环境,用于生产、测试和部署我们的一个公共Web应用程序,同时也用了完全的实体分隔技术。在我们的系统中,有些分离的网络交换机,有部分VLAN-ing,但是从大的方面来看,整个环境在物理层面上还是分离的。所以进入或离开这个环境的唯一方法就是使用RSA SecurID结束终端服务器。

记者:以上您所说的Web应用程序是指哪些?

Khalsa:就是标准的Web应用程序。比如.NET、IIS 或者是SQL后端。之所以需要如此高安全水准的部分原因是在虚拟环境部署后不到一年的时间,就出现了针对这些应用程序的安全漏洞。虽然我们对虚拟化非常感兴趣,但是在虚拟环境中,如何维持一个高级别的安全性还是挺让我们担忧的。我们不得不考虑一种方法,它既能得到实体分隔技术带来的好处又能获得虚拟化带来的便利。

记者:除了分离技术问题外,安全性方面还有其他的难点吗?

Khalsa:在一部分人看来,大的融合会带来大的风险。所以,如果你有一个中枢管理点,并且只要有一点疏漏就很可能会损害整个系统环境。

值得一提的是,虚拟化与工作人员日常处理的事务有很大的差别。这和近期IT领域中的现象也是一致的,而对于确保安全性,结构化和组织化的最佳答案还没有明确的答复。

记者:你是如何克服这些困难的?

Khalsa:当我获得的虚拟化方面的信息越多,我越是认识到在虚拟环境中你不能使用相同的实体分隔技术,获得虚拟化带来的便利。如果你有一个进行了实体分隔的环境,并想对这些设备做虚拟化,那你需要把这些目标设备都放在一个ESX主机中,并用分离的物理NIC(网络接口卡)和分离的虚拟交换机进行分割,仍有数据穿过的公共点,但这并不意味着一定就是安全隐患。

我们并不希望沿着分离物理主机的方法来处理所有的事情,因为你所面对的环境相比于你试图替换的环境更复杂,服务器数量众多。所以我们正在探索一条在替换实体分隔时又能够交付完美安全性能环境的全新道路。

美国新墨西哥州公共事业部门有160台Dell服务器,当其中的80%虚拟化后,IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机(VM)的迁移,会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统 (IDS/IPS)无法与虚拟设置兼容。

所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划,在虚拟化设置内登录以及进行防火墙管理。他还部署了一种将基于网络的策略管理的 HyTrust设备与Altor Networks 虚拟防火墙登录结合的策略。并对记者编辑Rivka大致讲述了其经验。

记者:对安全产品的考量是基于何种考虑?

Khalsa:在虚拟环境中,我深知我们需要一些防火墙而不是依赖于物理防火墙。并且我们也非常需要有一些可为虚拟环境交付更高安全水准的产品。同时,之前我也说过整合范围越风险越大,所以虚拟环境中部署实施较高级别安全性能的想法就越发的重要。值得一提的是,从安全观点出发,其准则的数量简直就是数不胜数,像一个良好的记录机制,它可以记录并整理你系统中发生的变更以及所有事件。

记者:您最终选择了HyTrust 和 Altor的产品,请问您的理由是什么?

Khalsa:HyTrust的主要优点之一就是其为环境交付的单式记账点可达到非常高的安全水准。所以我们利用Active Directory进行验证,以及RSA SecurID,使用HyTrust实现对系统环境的访问。

除此之外,我们选择HyTrust的另一个原因就是考虑到了整合和记录。我们有能力去了解满足某些标准的配置,以及验证对这些标准的满足,然后监测它是否有所更改。这就为我们提供了良好的可视性能,系统环境在特定时间内的所有状况也都尽收眼底。

我们还用了Altor的产品套件,也就是其虚拟防火墙。我们使用了物理防火墙来对虚拟环境的外部做保护,然后使用Altor来提供系统环境的安全性能。Altor利用了VMware vSafe APIs,可以在VM的虚拟NIC和虚拟交换机之间进行自我嵌入。这种方法可以观测到所有流入流出VM的网络流量,并可以在同一级别内部署防火墙,这在一个物理环境中来说是不可能的。除了防火墙,Altor套件提供了通常的虚拟环境中无法实现的一些性能,如入侵检测系统(IDS)、入侵防御系统以及记录和流量监控等。

记者:这种策略会比实体分隔中的安全性能更胜一筹吗?

Khalsa:虽然它不能提供相同的实体分隔,但是同时使用两种产品所获得的安全性能比单独使用一个所获得的安全性能级别更高,或者至少与在实体分隔技术中所获得的是等量的。另一个好处就是,你做这些变更付出的代价与你得到的好处相比,那简直就是微乎其微。

记者:接下来的处理方法是什么?随着虚拟环境的不断发展,您将如何沿袭您的安全性路线?

Khalsa:在我看来未来的发展中还有一些像反病毒扫描这样的挑战。目前我们所有的服务器中都配有标准的反病毒程序,为了保证主机不负荷过多,我们必须保证所有的扫描都是交错进行的,这更多的是一个管理方面的措施。

记者:您是如何把所有技术都集成到现有的以网络为基础的安全设备当中的?

Khalsa:以前我们的网络部门管理着IDS以及Juniper防火墙,但是这之间却并没有任何交集,而且我们也不能使用任何与集中式管理相关的产品。我所能找到的就是在虚拟化环境中可用的工具,通过工具得到更多合并视图的能力,并且在大多数程度上,这种管理界面所涉及到的虚拟化知识也并不是很多。我可以为大家介绍Altor防火墙中的IDS区域,它与任何IDS的工作原理都是一样的。Altor在整合自己的防火墙产品与Juniper的时相当协调,所以下一代产品的发展方向就是能够在Juniper的安全管理产品上实现管理和检测功能。

记者:所以这个规划的最终目的就是在虚拟化环境中整合网络安全产品的管理?

Khalsa:这是我们最理想的结果了。我经常对我的员工说,不要把VM想的与其他任何产品不同。从管理的角度来看,这也是我们的目标。不管是虚拟环境还是物理环境,你都不需要对管理工具做任何区分,只要在虚拟和物理环境的边界处进行安全管理就可以了。