DoSRV分析:如何应对虚拟服务器十大安全隐患(1)

DoSERV分析11月22日国际报道:2007年,有关数据中心的虚拟化应用大家最关注的问题就是"虚拟化的运用到底能我们节省多少时间和金钱?",2008年,大家最关注的将演变为"怎样能保证虚拟化环境的安全?"。

这个问题非常难以回答。安全产品服务提供商和咨询师们对于个中风险和如何防范风险也是众说纷纭。同样,安全产品的研发人员也对各种理论上的风险夸大其词,比如针对管理程序的恶意软件的兴起。"有关虚拟化的争论正在甚嚣尘上"伯顿集团市场研究机构的资深分析师克里斯.沃夫这样说道。

还有个火上浇油的事实就是多数IT企业表示2007年在他们开始大规模使用虚拟机时,他们更多考虑的是把运行速度放在首位,而把其他因素包括安全规划都置之一旁。(这并不奇怪,要知道多数企业都是在进行测试和应用程序开发的硬件上开始虚拟化应用,而不是在运行核心商业应用软件的服务器上)。

"我们发现安全问题在虚拟化扩建的过程中成了被大家遗忘的角落"互联网数据中心企业系统管理软件研究室负责人史蒂夫.艾略特表示。"我们一想到目前已经投入使用的虚拟机的数量就不不禁惶惶不安"根据互联网数据中心的统计显示,目前已经有75%的拥有1000或者更多雇员规模的大公司在使用虚拟化技术了。

Gartner公司副总裁尼克.麦克唐纳在出席Gartner2007年10举行的IT信息座谈会上预测说,到了2009年,约有60%使用中的虚拟机与物理机相比要不安全的多"。

安全问题专家克里斯.赫夫表示,人们总喜欢把虚拟机与物理机进行比较,不停的询问两者的安全性孰优孰劣然后进行讨论。但是我认为有关虚拟化安全的各种讨论应该到此为止了。

这本来就是个错误的问题,克里斯.赫夫作为优利系统公司安全革新方面的总设计师经常在他的博客上以此为题进行讨论,他认为正确的问题应该是"你已经在虚拟化环境下将你所了解的安全知识加以应用了吗?"。

"人们总是被一些理论的东西弄的晕头转向,其实在真实环境中你还是可以采取一些措施的。赫夫表示,虚拟化的运用确实带来不少新的安全问题,但我们首先要做的就是实际一些,要相信自己能够将虚拟化网络建设得和物理网络环境一样出色.

赫夫以VMware公司的虚拟化管理工具VMotion为例,这款产品对及时消除虚拟机的故障很有帮助,也能允许管理员在物理环境下对两台虚拟机进行合并,为了安全起见还能根据网络交通情况对其进行分离。

一些IT企业看到这里马上又会犯基础性错误:他们将运用虚拟化技术的服务器形单影只的运行,而将整个IT团队的安全维护,存储和网络专家们置之门外。这就会导致安全隐患,而这些问题与虚拟化技术和产品的自身弱点无关。赫夫认为"这其实是个让整个团队同心协力的大好机会"。

"虚拟化的运用90%在于计划"伯顿集团的沃夫表示"这个计划必须涵盖整个团队,包括网络,安全维护和存储等各个部门的团队协作"。

但事实上,多数的IT团队在推进虚拟化的过程中盲目扩张,以致于自己都手忙脚乱。如果你错过了与专家共同规划的机会,那么在你进行虚拟机扩充和在虚拟机上运行应用软件时就要格外小心了。

"为了能跟上虚拟化的潮流,先要从虚拟化体系架构入手使用管理工具对其进行认真的核查"沃夫表示(他向大家推荐使用CiRBA公司和PlateSpin公司的智能审核工具软件)。

以下是企业为了维护虚拟化安全需要采取的十大步骤:

1. 控制虚拟机的增长速度

Arch Coal公司的首席信息官迈克尔.阿本尼负责公司内部的IT部门,他对虚拟机增长过快所带来的问题有自己的独到见解: 创建虚拟机只需几分钟的时间。但它们的确能很好地独立完成各项计算工作。 但你拥有的虚拟机越多,你所面临的安全风险就越高。因此你最好能对所有的虚拟机都保持追踪。

"我们先从简单的虚拟化测试和开发硬件入手,"迈克尔.阿本尼说道。 "继而转向小型的应用服务器, 然后逐步扩大直到成功。 我们必须明白盲目行事只会增加我们的风险。" Arch Coal公司目前拥有45台虚拟机,其中包括活动目录服务器和一些应用和网络服务器。

那么该如何控制服务器的增长速度呢? 有一个方法: 按照创建物理服务器的规则去创建虚拟服务器或虚拟机。 在Arch Coal公司,IT团队对创建新的虚拟机的审核十分严格:"无论是物理服务器还是虚拟机,要经历的审批流程就并没有什么不同,"Arch Coal的微软系统专家汤姆.卡特这样强调说。

本着这个目的,Arch Coal的IT部门通过变化控制委员会(由服务器、储存等不同部门的IT员工交叉组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了,即使是取得了开发人员的同意。阿本尼表示。

VMware公司的VirtualCenter(虚拟化中心)管理工具与Vizioncore的工具能帮助IT部门对虚拟机的增长速度进行管理。

互联网数据中心的艾略特表示 "虚拟机的增长过快是一个很严重的问题,它会导致在管理、维护和供给等各个环节上的落后"。 同时,如果你无法有效的控制虚拟机的数量,那些出乎意料的管理问题也会造成成本激增。

2. 将现有的流程在虚拟机上加以应用

虚拟化最大的魅力或许就在于它的速度: 你可以在几分钟内就创建一个虚拟机,轻松的进行迁移,为你的商业部门提供最新的计算能力,几周的工作量缩短到一天时间里就能完成。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重,要让虚拟化成为你现有IT流程的一部分,并且将安全预防问题放在第一位,艾略特说道。 你会逐渐发现更多令人头疼的管理问题。

"流程很重要,考虑虚拟化不仅要站在技术的角度,而且还要从流程出发。比方说,如果你是使用信息技术基础设施库(ITIL)来引导你的IT流程,那么你要事先考虑如何将虚拟化融入到整个流程框架里,"艾略特建议说。 如果你是使用其它IT最佳实践方法,也要考虑到虚拟化融合的问题。

赫夫给我们举了个例子: "如果你有一个服务器强化文件(指新服务器的安全和安装标准),你就应当在你的虚拟服务器上按照物理服务器的流程一一照搬"。

在Arch Coal公司,迈克尔.阿本尼的IT团队也是这么做的: "我们采用最佳实践来确保物理服务器的安全,并将此照搬到每一台虚拟机上,"阿本尼认为。 通过强化操作系统,在每一台虚拟机上运行防病毒软件,确保补丁管理的及时升级并保持虚拟服务器与物理服务器上的流程同步。

DoSRV分析:如何应对虚拟服务器十大安全隐患(2)

DoSRV分析:如何应对虚拟服务器十大安全隐患(3)