中小企业如何防范与管理虚拟化安全

随着虚拟化不断盛行起来,中小企业(SMB)逐渐开始加大对虚拟化的投入。由于中小企业整体实力较为薄弱,资金少,IT基础设施不够健全,因此借用 虚拟化技术来帮助企业减少开支、提高效率、增强竞争力,就显得理所当然。可很多人却只会停留在虚拟化技术一个层面,并没有全面考虑到虚拟化技术所应重视的 安全问题。
 
正所谓“开开心心上班,平平安安回家”,如果仅仅重视虚拟化技术在中小企业中的具体应用,而完全忽视了虚拟化应用过程中所带来的安全问题,则多少有些“五音不全”,毕竟“皮之不存毛将焉附”。
 
在说明虚拟化安全问题之前,我们先来了解当前虚拟化和虚拟化安全的概括。根据调查发现,虚拟化在大部分企业中并不是IT生产环境中的标准部署(如下图)。只有34.2%的企业对超过50%的IT系统进行了服务器部署,而部署比例达到或者超过70%的企业只有11.4%。 

 
企业虚拟化水平

而计划2012年底前实施虚拟化的应用中,绝大部分都把精力放在服务器虚拟化和存储虚拟化方面(如下图)。在2012年底,将有50.8%的企业会实现超过50%的服务器虚拟化部署,而存储虚拟化部署的企业用户将达33.3%,并且其虚拟化程度也将超过50%。 

 
截止2012年底不同署虚拟化应用部署情形

而在关于虚拟化安全方面的调查发现,有19.3%的企业认为经验和技术的不足会影响虚拟化安全 的规划和实施。而在具体的影响虚拟化安全实现的因素当中,预算和前期投入也是一个十分重要的因素,另外虚拟化环境和平台的安全管理的复杂性,也是一个突出 的问题。当然,这一点也不奇怪,因为安全问题本身是需要前期投入的,因此在部署虚拟化的时候往往容易被企业用户忽视。
 

 
制约虚拟化安全的因素 

其实复杂性问题归结为两点:首先是整体上的复杂性——相比较传统的物理环境,虚拟环境下管理安 全性会变得更为复杂。因为虚拟化会促使更多的系统出现,应用程序和数据会在不同的主机系统之间进行迁移和蔓延。其次是跨虚拟平台和环境(不同服务商提供) 的安全管理复杂性。异构虚拟化环境下安全管理的支持(根据现实中虚拟化的地位问题和结果)是成功部署的关键所在。

大部分企业都在寻找某种整合的解决方案,既帮助管理物理环境,又能帮助管理虚拟环境。有数据显示,83.8%的企业偏向于选择既能满足物理环境又能满足虚 拟环境的管理解决方案。这也就意味着,不存在专为“虚拟化安全”的独立市场。不过,那些传统安全厂商可以通过现有IT安 全管理解决方案增加附加值来实现虚拟化安全。
 

 
中小企业对虚拟化安全方案的偏好选择

另外,有关虚拟化安全方面的挑战和问题的重要性,也备受人们的关注。其中最受人们关注的是“数 据蔓延”,比如在没有得到有效控制的情 形下数据迁移至不够安全的环境中的风险。有调查数据显示,41.7%的企业用户认为这一点十分重要。紧接着数据蔓延的就是完善法规和审计规范。
 

 
虚拟化安全带来的挑战及其重要性

 另外,34%的用户认为IT资产实现虚拟化后的业务风险评估也非常重要,持有“非常重要”和“重要”观点的用户总共大概有78.8%的企业。这也就意味着,业务风险和IT风险之间有着紧密的联系。
 
IT基础设施的根本性转变,比如基础设施实施虚拟化的迁移,可能会对业务的发展带来积极或者消极的影响。因此,了解业务影响特别是潜在风险——比如此前所提的数据蔓延,就会显得十分重要。
 
虚拟化安全并不是一个孤立的技术问题,而是需要根据业务需求和风险情况,与现有的IT安全举措进行集成。因此,中小企业需要做的是在已有的基础上进行扩 充,而不是专门为虚拟化环境而重塑安全。然而,未来更好地管理分布式环境和减轻数据和服务器蔓延的风险,需要有某些特定功能来支持。
 

 
虚拟化环境下特权用户带来的风险

上图中,展示了虚拟化环境下人们所关注的第一组问题——特别是特权用户带来的风险问题。特权用 户指权限获得提升的用户,如管理员、操作员以及技术用户和其他类型的用户。根据调查发现,企业对风险的看法与对此采取的措施存在显著差异。几乎有四分之三 (73.2%)的企业关注hypervisor提供的优先特权以及由此带来的潜在滥用问题。
 
Hypervisor的管理帐户拥有广泛的特权,由此,它会使得虚拟化环境出现一个新的攻击窗口,并可以通过特权用户的滥用行为将该窗口进行打开。在虚拟 化环境下,这与权利的滥用有着十分紧密的关系——在某些情况下,甚至很难跟踪到这些特权用户的滥用行为。因此,引入PXM (Privileged Account/Identity/User Management,特权账户/身份/用户管理),在虚拟化和云环境中显得更加必不可少,以满足法规遵从要求,并减轻这些环境风险。

虚拟化安全属于IT战略中的一个组成部分,它其实并不是安全解决方案,只是对虚拟化环境提出了更高更多的管理要求。下面,具体介绍如何实现虚拟化安全:
 
隔离平台
 
虚拟化可以打通一切硬件资源的条块分割实现互通有无,对于虚拟机来说,它们不能进行相互通信(除非通过网络),而且资源会受到严格控制。对于虚拟交换机来说,不存在网络共享的机制,但完全具备支持VLAN layer-2交换机的功能。
 

 
隔离平台

 隔离平台的主要目的在于,一旦发生紧急情况,可以最大程度地避免整个虚拟化环境系统的破坏,另外,也有助于虚拟化安全管理。在此基础上,使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。
 
保护虚拟机
 
中小企业虚拟化安全,更多的是需要考虑到虚拟机的安全。用户需要确保在不同虚拟机之间,用防火墙进行隔离和保护,而且要制定统一规范 的安全政策,未经授权或者未知来源都一律禁止访问。在单个虚拟机上(包括物理主机),则需要安装防病毒工具并保持更新。而对于此前提到过的特权用户问题, 特别需要注重管理。在利用特权用户管理虚拟机的时候,特别要重视虚拟机端口和远程访问,禁用不使用的网络端口,严格限制远程访问。
 
寻找专业技术顾问
 
中小企业部署虚拟化,本身就是一个艰巨浩大的工程,对于这些实力较为弱小的企业用户来说,依靠自身力量往往很难对虚拟化环境进行充分保护。在这样的情况下,中小企业可以考虑采用外包的形式,将虚拟化和虚拟化安全统一打包给专业的第三方进行统一管理。
 
另外,也需要加强企业内部IT管理员的技术培训和规范操作,强化风险意识和安全观念,在考虑到虚拟化安全的同时,也不能忽视了物理主机和网络的安全防护工作。