安全虚拟环境中的审计

DoSECU 安全报道 8月20日消息:专家称随着虚拟化技术的持续升温,企业用户开始以全新的角度去关注法规审计。为了应对新的情况,企业必须去实施适当的管理和监控措施。

专家称,虚拟化呈持续增长态势,经常会超过保障虚拟化环境安全措施的发展速度。

诸如虚拟机蔓延和职责分离等最常见的虚拟化管理问题对于IT管理员来说应该是耳熟能详了。

Catbird Networks的首席技术官米歇尔.伯曼表示"人们正在尽可能快速的配置虚拟化,而在配置真正需要的管理工具和法规遵从及安全工具方面则相对滞后"。

伯曼在8月17号华盛顿举行的SANS虚拟化安全峰会上提到了这个问题,他表示企业用户报告称在审计期间,他们通常会在库存管理和虚拟机映像文件日志访问请求等问题上遭遇拦路虎。对于所有虚拟化的优势而言,它给级别管理和以法规遵从审计名义来解决的安全问题提出了新的课题。

"虚拟化使得配置新服务器变得更加简单,也会改变整个管理流程"Gartner咨询公司的分析师John Pescatore表示"这些许多未打补丁和错误配置的服务器就出现了"。

改变管理流程应该在虚拟化服务器级别上实施强大的管理员控制和审计跟踪,Pescatore表示。他补充说另一个常见问题是没有任何因果关系的安全区的交叉。企业用户不应该对整个安全区进行整合,也不应该使用虚拟机内的软件防火墙映像来保证同样的的防火墙协议能发挥作用。

Burton Group的分析师克里斯.沃夫解释说许多企业假设在虚拟基础架构内部以软件为基础的安全区得到安全法规遵从审计员的认可。但是事实上目前许多审计师要求值得信赖的物理隔离区。

沃夫表示"企业在执行资产整合时,必须考虑到安全分区限制"。

但是在沃夫的眼中,企业犯下的最大的错误是忽略了客户端。

"这很重要,因为在很多企业内部,用户运行的是客户端托管的管理程序,比如VMware Player或Virtual PC"沃夫表示"许多用户下载服务器操作系统,然户在他们的系统上本地运行。这种做法的结果与允许用户在家中构建白盒子服务器是非常不同的,会让他们连接到局域网上。我们的一些客户端让用户不经意间就通过DHCP服务器虚拟机上连接到伪造IP地址的局域网上"。

最终的结果是导致拒绝服务,沃夫强调说。

"有一些工具能解决这个问题,比如说VMware ACE,但是由于附加成本的原因,企业用户接受他们还有难度"沃夫表示"与Windows 7系统绑定的MED-V为客户终端上的虚拟机管理协议提供了一种框架"。

虚拟化安全厂商HyTrust的首席执行官Eric Chiu表示,到了最后企业必然要关注他们的基础架构,了解他们的安全需求。

"企业必须关注这些协议和控制他们的企业,确信这些安全协议涵盖了虚拟基础架构"Chiu表示。