英特尔高管畅谈虚拟化安全

DoSECU 安全报道 7月21日消息:虚拟化部署并非易事,让这个复杂过程更为艰难的安全问题也经常被急于配置这项技术的企业用户所忽略。

英特尔公司安全解决方案总监Steve Orrin对于规划虚拟化配置有着简单而实用的建议。他表示"不要一开始就急于去追逐那些高价值和承担关键任务的领域。要从有投资价值而不是那么关键的领域开始着手,否则一旦出现问题就是很严重的后果"。

"对于任何新兴的基础架构,都存在着错误和挑战。学习,然后将学到的知识和经验应用到高价值系统中去"Orrin补充说。

在下周即将举行的TSACA国际大会上,Orrin将发表名为"从虚拟化和安全对决向以虚拟化为基础的安全过渡"的讲话,它的主题将围绕安全应该对虚拟化配置有所帮助而不是阻碍其发展的中心展开。

省钱但不要走捷径
根据Orrin的说法,如果安全在这些配置中经常是事后才去考虑的问题,这可能是因为企业用户过于追求成本节约的效应,而不是利用虚拟化所能提供的灵活性优势。

"管理者必须完全理解虚拟化对他们意味着什么"Orrin强调说"这里有着安全的考虑,运作问题和安全一样棘手,当你尝试将你熟悉的物理世界向虚拟领域迁移时,问题就出现了"。

当应用软件在服务器之间进行迁移,改变他们使用的资源甚至他们存储的位置时,安全问题变得更加复杂。Orrin解释说"针对不同的虚拟机你需要不同级别的安全设置。人们从20台设备整合为一台大型的设备,目前关键任务应用软件与测试应用软件和人力资源软件等一起在同一个设备上运行。一种安全协议如何涵盖所有的方面?"。

现实中多数配置比这个要复杂的多。Orrin表示"在多数企业中,整合的比例远不止20:1。一些企业有很多数据中心分布在不同地点,管理者也希望能对数据中心进行整合"。

没有一种安全协议
Orrin表示,解决方案是设置一种涵盖多种级别安全的安全协议(设定低,中,高的安全级别),循序渐进的部署虚拟化。

如果这部分进展顺利,就会带来法规遵从的好处。Orrin表示"我见证过很多实例,人们发现应用安全控制并把它们反馈给审计人员要简单的多"。

但是要把这个过程做好也并不容易。有一种新的软件层,管理程序外加虚拟机管理器都需要安全保护。虚拟化技术能有所帮助。

Orrin表示"VMsafe和Xen中类似的工具能帮助你调整虚拟机管理器,以便一个虚拟机能为其他虚拟机做杀毒工作。我们的目标就是利用用户现有的安全机制,让它与虚拟化技术相结合"。

让现有的安全机制与虚拟化相结合以一方面;让防火墙与虚拟化相结合就难度更大。Orrin介绍说"云上的防火墙不能达到同种级别的保护效果,特别是如果管理程序是在虚拟机之间担当互联的话"。

"做为回应,一些人改变了所有的网络流量从网络中发出的方向。像思科和Juniper等厂商希望你这么做,但是你又无法利用虚拟化交付的有效性。从效用的角度来看,虚拟应用工具意义非凡,但是同样也存在局限性"。

思科系统公司今天对此也发表了评论。思科发言人在电子邮件中表示"来自思科的Nexus 1000v产品能通过在管理程序层内部设置企业级交换机来帮助你控制和阻断虚拟化之间的网络流量。另外,思科的Nexus 1000v在能耗方面也表现卓越,它所捆绑的防火墙等服务也是一项创新"。

大型机可以简化虚拟化吗?对此Orrin表示"大型机是所有虚拟化技术的鼻祖,IBM公司喜欢这么说,但是如果你在大型机上运行Linux或Unix操作系统,大型机有着自己的应用工具来实施访问控制和过程隔离,当你试图将大型机和客户端服务器体系架构及VMware混合使用时,这种平衡就会被打破"。

Orrin声称他非常欣赏大型机的理念。他表示"我是大型机的拥趸者,我见证过大型机的能力和绝妙。那就是说它不是Windows或 Unix服务器"。

Orrin补充说企业所有的关键任务应用软件都在大型机上运行的情况非常少见,这是虚拟化配置中很有价值的部分。

Orrin还强调说,虚拟化所独有的另一个重要安全问题是,在许多虚拟化配置中,只有常有的虚拟机模板才被储存,然后按照需要进行复制和配置。

"这些大家配置虚拟机的副本很珍贵。如果有人试图攻击这些金牌副本,就会对基于这些实例的系统造成伤害。安全软件关注的是什么在运行,而不是金牌副本不能运行的,因此你必须对他们进行研究。闲置的虚拟机就是一个大型的ISO文件"。

Orrin补充说公司制造产品来提供必需的安全性。"他们在配置之前更改虚拟机的控制,管理和证明。在迁移过程中,虚拟机会在途中遭遇攻击。我们看到过虚拟机在两台服务器之间迁移过程中遭受攻击的例子。攻击改变了迁移过程中的安全位数。因此为了保护虚拟机的完整性,他们要确保被配置的虚拟机就是原来的虚拟机,没有发生过改变"。

Orrin最后总结道"好消息是有一些工具和技术能解决这个问题。IT部门只要应用合适的工具就可以了"。