如何保障和管理虚拟环境安全

DoSECU 安全分析 3月24日消息:虚拟化的优势让IT部门更加灵活和高效,尤其是在目前严峻的经济形势下显得更加至关重要。但是虚拟化技术容易被忽视的就是它规避了安全措施的需求。

随着Noah Broadwater开始着手部署他的NOVELL虚拟化项目,他就意识到必须从一开始就考虑到现有安全措施的延续性和对新技术实施可能产生的任何风险进行分析。

Broadwater是纽约儿童媒体出品方Sesame Workshop公司信息服务部门副总裁,他表示"很显然虚拟化需要得到密切关注。首先,我们必须确保所有前端的安全"。

Gartner咨询公司的分析师尼尔.麦克唐纳表示虚拟化为IT部门打开了新的窗口,同时也为图谋篡改关键数据和服务的不法之徒打开了方便之门。

麦克唐纳强调说"接受虚拟化的用户担心管理程序软件会成为被攻击的目标,因此虚拟化安全规划应该从项目实施之初就开始制定"。

经济衰退和经验教训

随着目前经济衰退的现状要求IT部门少投入多产出,虚拟化的吸引力越发显得不可抗拒,但是某些企业为了节约资金在实施虚拟化技术上仓促上马,导致安全措施大大缩水。

许多节约型管理者认为目前用于保护常规物理服务器的技术同样能适用于虚拟化环境,但是麦克唐纳表示这是一种后果可怕的假设。麦克唐纳强调说在某些领域的粗心大意会被各种威胁乘虚而入,包括软件,管理,移动性,操作系统和网络的可视性都可能成为被攻击的弱点。麦克唐纳补充说"用户必须针对这些问题制定相应对策"。

Broadwater采取了一些大家熟知的防御措施,诸如利用防火墙控制来限制用户的访问,运行全套的安全协议和审核每个虚拟机。除此之外,Broadwater还表示他依靠他们的虚拟化软件提供商Novell Inc.来提供一种可以实施入侵防御的软件。Broadwater表示他担心虚拟化软件本身的漏洞–核心攻击,一些人会攻击软件中的主模块或者利用人为的错误攻击主服务器,因此一定要确保全虚拟化软件确实足够安全和打好补丁。

Broadwater表示他们对自己的虚拟化软件提供商充满信心,相信他们能随着虚拟化威胁的增长共同进步。

Broadwater认为除了技术层面的措施外,企业为了减少不必要的关注应该保留有关虚拟环境的详细资料。Broadwater表示"在很多情况下,我们甚至不会告诉人们他们正在虚拟机上运行或者他们正在访问虚拟机"。

位于美国马萨诸塞州Waltham市的业务外包和培训公司Lionbridge Technologies Inc的企业副总裁Oyvind Kaldestad表示,他最关心的是木马传染会侵入他们客户端企业的微软虚拟环境中。

Kaldestad表示"我确实很担心能够访问的主分区会将病毒或者其他类型的恶意程序传染给子分区,那将是一件可怕的事"。

Kaldestad还很关心使用虚拟化的子分区在很其他分区交换信息时会传播病毒。但是像Broadwater一样,他对自己的软件厂商也很有信心。

阿肯色技术大学的学术计算和技术部门负责人史蒂夫.米勒表示,组件隔离对于保护他们的VMware虚拟桌面系统环境是非常重要的措施。

米勒强调说"我们将虚拟桌面系统与我们的生产服务器隔离,让我们的研发服务器尽可能的与生产服务器隔离。我们最关心的是让主机或者存在危险的虚拟机隔离,保证他们不会受到应用环境中其他系统的不必要访问"。

米勒也承认当他设计虚拟化环境时低估了安全挑战。米勒表示"安全没有在开始阶段引起重视。我们设计虚拟化环境时没有把它和物理环境区别开来。这是一个错误,我们从中吸取了教训"。

像许多管理虚拟化环境的经理人一样,米勒也希望厂商能提供更多更好的可视化工具。他表示"一切都还是未知数,不知道虚拟化环境会如何发展。不仅仅是服务器与外界的联系,而且还包括这些虚拟机和桌面系统之间内部的发展"。

尽管保障虚拟化环境需要新的意识和措施,但常规的安全途径仍然扮演着重要的角色。像许多经历过虚拟化部署的亲历者一样,Broadwater认为虚拟化安全从主机开始。

他表示"要确认你的安全补丁能及时升级,确保在防火墙后面设置了正确的防病毒工具"。

为了进一步保障虚拟化配置尽可能的安全,Broadwater会定期求助外界的安全公司来帮助他们搜索虚拟环境中的漏洞。Broadwater介绍说"我们每年都会聘请安全公司来进行安全渗透测试。根据渗透测试,我们能发现安全漏洞,然后将其反馈给厂商,要求他们解决这些问题"。

Kaldestad表示早期的虚拟化应用者都是通过仔细审核每家提供商的虚拟体系架构来判断他们如何管理虚拟化安全。

"努力找出可能会使用的攻击漏洞类型。通过观察虚拟体系架构是如何构建的,你可以发现大量的潜伏漏洞"。

现实情况

并不是的IT经理人都忽视了虚拟化安全。有些人认为这个问题被过分夸大了。他们表示批评家忽略了多数漏洞都已经解决的事实,许多虚拟化应用者只是简单的应用虚拟化来整合低优先级和低风险任务的服务器来达到省钱的目的。

美国最大的非洲-美国无线电网络公司Interactive One的技术运营副总裁尼古拉斯.唐表示,他认为只要关键数据没有被应用到虚拟化环境中,虚拟化就无需特殊的安全保护。

尼古拉斯表示"我们将虚拟机像标准服务器一样对待,采取的也是标准的安全措施,并没有对虚拟化环境进行特殊对待"。尼古拉斯使用的是甲骨文的虚拟机技术来整合低载服务器,诸如域名服务器和效用服务器。

位于科罗拉多州Boulder市的技术研究机构Enterprise Management Associates Inc的安全和风险管理研究总监Scott Crawford警告称对安全树立正确认识是非常重要的,因为没有那家企业希望受到攻击或者入侵,即使被虚拟化的任务相对不重要。他表示"没人想成为虚拟化安全的牺牲品,因此必须将混乱局面整理清晰"。

米勒也同意Crawford的说法,他表示"虚拟化是一项非常有趣的技术,能为IT经理人提供管理他们系统的更好方法。但是不要过分沉醉在虚拟化的优势里而忽略了安全的重要性。那是非常危险的"。