如何降低服務器虛擬化的四大安全風險 |
發(fā)布時間: 2012/8/4 18:19:08 |
如何降低服務器虛擬化的四大安全風險雖然服務器虛擬化可提高運營效率和管理的靈活性并且減少擁有的總成本,但是,服務器虛擬化也增加了安全風險。 據(jù)市場研究公司Gartner稱,從現(xiàn)在至2009年,60%的虛擬機都沒有物理服務器那樣安全。這些安全挑戰(zhàn)包括: 1、IP地址依賴性:在虛擬化環(huán)境中,IP地址經(jīng)常隨著虛擬機的創(chuàng)建而變化,撤下來或者從一個物理主機轉(zhuǎn)移到另一個主機,從而引起傳統(tǒng)的保護機制中的問題。 2、虛擬機蔓延:虛擬機很容易從以前存在的鏡像中創(chuàng)建,經(jīng)常會出現(xiàn)大量的沒有適當?shù)木S護或者以已知的安全漏洞為基礎(chǔ)的虛擬機。成功地攻擊有安全漏洞的虛擬機能夠使那些虛擬機作為攻擊其它虛擬機的攻擊平臺。 3、不能監(jiān)視內(nèi)部主機通訊:服務器虛擬化引進了一個“軟交換機”的概念,允許虛擬機在一臺單個的主機中相互通訊。監(jiān)視和保護這些通訊需要特殊的工具,而且選擇性有限。 4、對于安全政策的豎井式的方法:遺憾的是,許多安全廠商對于安全都采取豎井式的方法,建議對于每一個虛擬機的需求都采取不同的解決方案。Gartner分析師Neil MacDonald最近在接受采訪時表示,管理不善或者一個簡單的老錯誤都會在虛擬領(lǐng)域產(chǎn)生許多安全問題。事實是我們在物理領(lǐng)域使用的工具與在虛擬領(lǐng)域使用的工具是不同的。 考慮到必須要解決這些挑戰(zhàn)以實現(xiàn)服務器虛擬化的好處,需要一種新的方法,一種能夠解決虛擬環(huán)境和物理環(huán)境安全問題的跨平臺的解決方案。跨平臺的虛擬安全工具能夠幫助機構(gòu)在整個數(shù)據(jù)中心強制執(zhí)行動態(tài)安全政策,不必再權(quán)衡虛擬化的好處和保持強大的安全。 跨平臺虛擬安全工具管理控制臺應該能夠部署在網(wǎng)絡的任何地方,并且有權(quán)最大限度地實現(xiàn)靈活性。管理控制臺一般向系統(tǒng)記錄和Windows事件記錄中寫入詳細的記錄數(shù)據(jù),從而減輕了把這些工具與現(xiàn)有的管理控制臺集成在一起的工作。 要消除安全政策對于IP地址的依賴性,跨平臺虛擬安全要保證政策強制執(zhí)行,不管這個機器的平臺或者位置是什么。安全管理員能夠消除與規(guī)則變化有關(guān)的經(jīng)營開支。事實上,強制和堅持執(zhí)行政策的各種情況包括: 1、當物理服務器和端點移動到網(wǎng)絡的不同地方的時候。 2、物理服務器和端點轉(zhuǎn)變?yōu)樘摂M機。 3、虛擬機 4、正在使用或者停用 5、從一個物理主機轉(zhuǎn)移到另一個物理主機。 跨平臺虛擬安全把物理機器與虛擬機放在一個邏輯的安全區(qū),并且通過確保流氓虛擬機不是這個邏輯區(qū)的成員并且不能同與它們無關(guān)的安全區(qū)進行通訊來防止虛擬機蔓延。事實上,它們之間是相互看不到的。通過嚴格控制對各個區(qū)域的訪問,被攻破的虛擬機的攻擊平臺區(qū)域?qū)@著減少?缙脚_方法通常是以分布式的 P2P架構(gòu)為基礎(chǔ)的,允許升級到成千上萬的實例。只需點擊幾下鼠標就能完成政策管理,更新部分或者全部端點政策。 其它好處包括: 1、消除由一種豎井式的方法給數(shù)據(jù)中心安全造成的管理復雜性,通過一個單個的控制臺保護主機。 2、不用重新配置即可滿足遵守法規(guī)的要求。 3、消除與防火墻和虛擬局域網(wǎng)有關(guān)的經(jīng)營成本。 4、利用一種分布式架構(gòu)消除瓶頸和單個的故障點。 當評估一個跨平臺的虛擬安全解決方案時,請考慮如下要求: 1、跨平臺支持(虛擬的和物理的):理想的解決方案將支持在虛擬化環(huán)境中常見的x86操作系統(tǒng)以及其它常見的和很少見的架構(gòu),如Solaris、AIX、HP-UX、RedHat、Windows和基于IP的非服務器設(shè)備。 2、不依賴IP地址:理想的解決方案應該強制執(zhí)行安全政策,不管這個計算機的IP地址是什么,保證在移植或者物理移動時政策的一致性。 3、在同一臺主機上隔離虛擬機:要保護虛擬機防止出現(xiàn)由于安全漏洞引起的虛擬機蔓延,理想的解決方案是能夠在同一臺物理主機上把虛擬機相互隔離開。 4、方便地升級:要支持增長不出現(xiàn)瓶頸,要尋找能夠在分布式架構(gòu)中運行的解決方案。 5、有選擇的加密:尋找能夠根據(jù)政策提供有選擇的加密的解決方案,不要采用“要么全加密要么全不加密”的解決方案,以實現(xiàn)最佳的性能與保護比例。 6、集中的管理:要利用管理的效率,可以尋求一個提供單點安全管理的解決方案。 7、基于主機的實施:要達到安全政策的最大精細程度和移動性,要尋求一個在主機上強制執(zhí)行政策的解決方案。 8、對基礎(chǔ)設(shè)施和應用程序透明:要減少部署時間和兼容性問題,理想的解決方案對于網(wǎng)絡和應用程序的操作是透明的。 9、強大的活動和審計登記:理想的解決方案應該登記詳細的活動數(shù)據(jù)并且創(chuàng)建一個服務器和端點以及管理控制臺的審計跟蹤記錄。 10、基于認證的身份識別:尋求一個使用X.509第三版證書的解決方案以保證操作者的證書不被假冒。 服務器虛擬化運營好處和經(jīng)濟好處是毋庸置疑的?缙脚_虛擬安全消除了服務器虛擬化和強大的安全之間的取舍,應用一種合乎邏輯的擴展到物理和虛擬數(shù)據(jù)中心的安全模式,保持虛擬機遷移的一致性。簡言之,跨平臺虛擬安全能夠讓機構(gòu)全面地向服務器虛擬化過渡,同時簡化其強制執(zhí)行安全政策的方法。 本文出自:億恩科技【mszdt.com】 |