如何保障虚拟世界的安全

      虚拟化平台制造商以往对虚拟化安全都没有太多关注。随着虚拟化部署的日益深入如何保障虚拟IT基础架构的安全逐渐成为业界热议的话题。然而对于那些在数据中心管理虚拟机和网络的IT经理人来说,虚拟世界的安全保障是他们最为关注的重点。
      一方面,虚拟化平台让创建和配置服务器和应用软件比物理机统治的时代要更加简单和快速。另一方面,物理领域中应用的安全工具和实践在虚拟机大行其道的今天已经不再适用。
      数据中心网络周期是重要的安全界线。但数据中心内部由X86服务器虚拟化所带来的质量和数量上的变化,正对网络周期的物理特性产生着潜移默化的影响。
      首先,虚拟机的蔓延让数据中心面临的压力日益严重。为物理系统上运行的应用软件创建安全方针并非易事。如今配置一台新服务器所需的时间从周缩短为小时,网络安全人员必须马上部署安全保障,确保系统数据不会遭受木马入侵和泄露。
      其次,数据中心面临的安全压力还来自于数据中心内部系统的快速迁移。虚拟机在物理机之间进行迁移时,与虚拟机相关的安全协议和资源保护如何迁移是个问题。
      增加数据中心物理服务器的数量是一种单调乏味的方式。除此之外,硬件系统必须在物理上与网络相连接,这就意味着那些没有访问过网络设备配置而缺乏相关知识的系统管理员就必须向其他的IT人员求助。
      这样的话,我们就必须在这个流程中安排两到三个职能部门来关注新系统的运行。如果实施了虚拟化,我们可能只需要一名IT技术人员在几分钟内在虚拟交换机上就能完成新系统的配备。面对IT基础架构复杂而脆弱的现状,这成为亟待解决的问题。
      如何改变IT基础架构的现状,如何提高虚拟世界的安全性是IT管理者必须关心和考虑的问题。问题的答案莫衷一是,目前还没有哪款产品或者战略能成为让问题迎刃而解的最佳方案。
      不过一些逐步成熟的实践方法正在演变成为引导未来发展方向的趋势。
传统的安全工具生产厂商开始为虚拟世界打造适合他们的产品。微软公司在经历了人们对Windows操作系统安全漏洞长达十年的质疑和诟病后,又面临虚拟化产品安全保障的难题。除此之外,VMware公司作为虚拟化领域的龙头先锋,也在应用编程接口的基础上推进VMsafe来保证他们虚拟化平台的安全运行。
      防火墙,入侵防御系统和连接物理系统的虚拟局域网都需要开发和维护。然而这些系统的功能必须迁移到连接虚拟机的虚拟网络的内部。通常虚拟网络是使用虚拟交换机创建的,这些虚拟交换机和虚拟机一起驻留在物理系统上运行的管理程序顶部。
      如今为了安全起见,我们需要对虚拟机间的流量进行监控。一旦开始运行,虚拟机流量就会返回虚拟网络。当我们想要提高虚拟机的运行能力时,就有可能导致网络运行的瓶颈。
      采用综合解决方案也能将虚拟机和他们安装的物理系统绑定,如果虚拟机迁移到不同的物理主机时,除非设计精巧的物理系统能支持这种迁移。使用这种方法会面临很多问题,我们甚至无法说清这么做的原因。
      第一个问题是,采用综合解决方案要取决于目前的系统架构,服务器必须始终在线直到它们停机或退役。必要的情况下安全产品要开发静态的方案来理清系统的物理和逻辑连接。
      在物理工具方面,还需要考虑与网络脆弱的静态模式相关的网络协议。坦率的说,我们可以看到数据中心变化的速度之快已经让IT管理者应接不暇,IT管理者应用传统IT安全工具的能力已经无法跟上虚拟世界的发展步伐。
      虚拟机的蔓延让安全协议必须要适应这个现实。随着数据中心虚拟机的数量不断增加,很可能IT管理者需要增加安全人员的数量和加强专业技能的培训,来专门致力于安全协议的创建和维护。要想访问所需的资源就需要了解系统定义的安全协议。 正如我们所描述的,虚拟机技术的前提和目前的实行都为安全协议的发展制造了难题。

      设想一下任何软件要装入系统都会增加系统的风险性。从理论上我同意这个观点,管理程序诞生至今所经历的时间还相对短暂,但管理程序已经证明它比任何其他应用软件都安全的多,尤其是Windows操作系统。

      管理程序平台上独立的虚拟机环境是实现物理机向虚拟服务器整合高比例的关键。作为一款副产品管理程序的运行比在同样物理服务器上运行的其他应用软件都要安全很多。将有不同安全需求的虚拟机放在同样的物理主机上运行,需要最佳的实践方针作为指导。很多企业可能只想保留处理常规数据的虚拟机,诸如信用卡信息等类似信息放在物理系统上。可能更好的办法是将系统功能放在一边,让安全价值相对较低的系统集合在一起,针对物理系统上高价值的虚拟机重点关注高可用性的设计。给这些高价值的系统分配安全资源,比如针对这些系统开发安全协议等。

      在此我们也介绍一下虚拟化平台厂商安全产品的开发。今年二月,VMware推出VMsafe,意在改进虚拟基础架构的安全运行,帮助企业减少虚拟资源的浪费。

      VMsafe是VMware公司研发的API工具,能让第三方厂商监控和控制虚拟机的网络流量,还能监控服务器上每个虚拟机的数据。这些数据可以供安全厂商使用来进行安全分析,而无需进入网络或者虚拟机。VMsafe的设计让用户使用较少的主机资源,简化和优化安全解决方案,为主机和网络安全提供全面保障。VMsafe技术目前处于蓄势待发的初级阶段。

      赛门铁克、McAfee和其他第三方安全工具制造商也在进行安全产品的早期开发。IT管理者应该密切关注这一领域的最新发展。通过对微软Hyper-V管理程序最近的试用,我们发现安全性已经从原来的附加功能成为公司着重强调的核心特性,微软在每个月的第二个星期二会发布安全产品补丁。在Hyper-V产品线和最新发布的Application Virtualization产品中,微软在产品的核心部分设置了安全运行特性。