服務器虛擬化如何平衡網絡安全上的利弊 |
發(fā)布時間: 2012/6/21 14:17:27 |
作為系統(tǒng)和數據中心的一個重要組成部分,服務器虛擬化領域正處于高速成長的階段。但是,服務器虛擬化會給已經十分復雜的現有安全環(huán)境帶來更多的漏洞。這是不是真實的情況?服務器虛擬化是否會增加公司面臨的風險?如果答案是肯定的話,與獲取的價值相比,付出的代價是否值得讓我們選擇接受服務器虛擬化?
為什么要選擇服務器虛擬化?
當基于微型計算機技術的服務器開始取代大型主機,并開始成為業(yè)務信息處理系統(tǒng)核心的時間,微機技術的發(fā)展是遠遠落后于當前時代的。微軟等公司為了確保用戶得到預期性能同時降低系統(tǒng)不兼容帶來的風險,給出的建議是在每臺服務器上安裝單獨的解決方案。對于數據中心來說,這種方法盡管是有效的,但卻意味著出現了數以百計的單一用途服務器。
隨著服務器數量的增加,管理上的難度就變得越來越大。此外,由于硬件技術的飛速發(fā)展,加上服務器的更新換代,導致數據中心的服務器資源經常得不到充分的利用。這種情況下,服務器虛擬化技術產生就成為理所當然的事情了。
開始時,服務器虛擬化技術的發(fā)展速度并不快,感覺上就象是在公園里隨意漫步。但隨著時間的推移,它逐漸成為了很多服務器解決方案的核心。根據來自信息安全風險管理公司Foundstone的威廉·郝和魯道夫·阿勞霍的觀點:
最近一屆[虛擬化]行業(yè)峰會吸引了超過一萬人參加,并且就Java和Linux操作系統(tǒng)在虛擬化環(huán)境下的應用達成了一致。
服務器和桌面虛擬化已經不再僅僅是一個時髦的詞語,而是成為了現實的技術,對于公司用戶來說,可以作為確定的信息技術給予利用。
之所以選擇虛擬化技術,是因為它可以幫助公司解決在使用服務器時出現的很多常見問題,其中包括了:
硬件分享。多臺虛擬服務器可以共享來自同一硬件平臺上的所有資源,從而在最大限度上提高公司投資的利用率。
避免了底層硬件在兼容性方面出現問題。虛擬服務器技術可以為使用者建立專門的虛擬服務器環(huán)境。這樣的話,供應商和商業(yè)用戶的應用程序和操作系統(tǒng)就不必擔心在部署一個解決方案的時間,會由于硬件不兼容而出現各種各樣的問題。
安全日志記錄。虛擬化管理軟件或虛擬機管理器(VMM),會記錄下在客戶虛擬環(huán)境下發(fā)生的破壞事件。因此,即使虛擬機中的日志被破壞或者修改,虛擬機管理器的日志依舊是安全的,不會受到影響。
通過標準鏡像啟用服務器。只要按照恰當的基礎安全標準進行設置、安裝好補丁,并對使用環(huán)境進行了配置,就可以建立一臺虛擬服務器,并且公司還可以把它作為一個標準鏡像保存起來。在需要恢復或者創(chuàng)建同一類型(舉例來說電子郵件、數據庫、文件和打印等方面)的其它服務器時啟用。
確保運營業(yè)務可以快速恢復。如果出現硬件損壞或者虛擬服務器當機的情況,只要重建環(huán)境的存儲虛擬映像就可以快速恢復業(yè)務運營。并且由于虛擬機是基于抽象的硬件無關性,所以,一臺后備服務器就可以恢復不同硬件平臺上的業(yè)務運營系統(tǒng),而不必擔心出現硬件兼容性的問題
安全測試。對于安全管理來說,為服務器和網絡操作建立安全規(guī)則是相當大的一部分工作。而利用虛擬服務器對安全規(guī)則進行測試就是一種很好的方法,快速建立一臺虛擬服務器,運行需要的測試,獲得必須的數據后就可以直接關閉它。
虛擬化技術會帶來什么樣的風險?
和其它任何新技術一樣,虛擬化技術也需要我們改變對信息基礎設施的管理方式。作為IT經理應該了解,采用虛擬化技術的話會在三個方面帶來潛在的風險,它們是:擴大的數量、網絡基本要求發(fā)生變化以及進行回滾操作時會出現漏洞缺陷。
對于工程師來說,虛擬服務器可以方便地部署既是優(yōu)點,也是缺點。傳統(tǒng)服務器部署的時間需要購買或者選擇現有硬件設備的閑置部分。從管理的角度來看,這樣的過程很容易進行控制。但虛擬化技術改變了一切。
而今天,工程師們只要選擇相關的鏡象就可以創(chuàng)建基于任何虛擬化硬件平臺的虛擬服務器。不必投入任何資金他們就可以方便的作到這一點。這就意味著,有更多服務器需要進行管理。安全分析師和審計師等工作人員需要監(jiān)控的數量也大大上升了。
在配置安全和性能監(jiān)控解決方案的時間,需要事前確定保證網絡穩(wěn)定的基本要求。但由于建立關閉用來測試基本要求所需服務器的時間,可能導致基本要求出現混亂。這包括了已經建立的基本要求,所以就可能導致監(jiān)測結果不可靠之類情況出現。
最后,當利用虛擬鏡象進行虛擬服務器回滾操作的時間,更新的補丁可能出現問題,服務器返回時間存在問題可能導致補丁失效。舉例來說,服務器返回的時間可能是在安全補丁發(fā)布之前。
所有這三方面的風險,都是由于服務器管理模式變化引起的。調整管理方法(也就是改變管理策略和方式),是保證虛擬化安全的第一步。為了保證安全,降低風險,公司必須對管理策略進行改進。
現在,我們來了解一些常見類型的漏洞,以及它們是采用什么方法對虛擬環(huán)境進行攻擊的。
包括藍色藥丸(Blue Pill)、SubVirt和Xensploit在內的概念攻擊已經證明虛擬機存在獨特的安全漏洞。不過,目前并沒有發(fā)生過實際的攻擊。此外,防惡意軟件工具的供應商也都在極力提高產品性能,以便對這種類型的感染進行檢測。(邁克菲提供的Total Protection虛擬化解決方案就包含了這種功能)。實際上問題的底線在哪里呢?對于虛擬化技術來說,安全的常識和信息都是有效的,關鍵在于設計合理控制得當。盡管技術可能是新類型的,但安全保護的基本原則并不會改變。
結 論
因此,是否值得冒險選擇虛擬化技術呢?答案是肯定的。得到適當管理的虛擬化技術帶來的好處遠遠大于任何想象或者實際的危險。具體來說,就是通過適當的管理措施可以將該技術帶來的額外風險降低到最小的程度,而同時在業(yè)務連續(xù)性和投資回報率方面改善帶來的好處是非常顯著的。因此,選擇虛擬化技術是一件非常值得的事情。 本文出自:億恩科技【mszdt.com】 |