您现在的位置是:首页 > IT基础架构 > 网络与安全 >
虚拟化急需跨过“安全”这道槛
2008-09-11 19:13:00作者:孟庆 来源:
摘要随着很多企业开始裁减IT部门的开支,虚拟化开始逐渐取代传统服务器,从原有的简单应用,转向真正意义上的企业应用。相对的,虚拟机蕴含的风险也在上升。这种风险不单来自于虚拟机管理程序(Hypervisor)或者虚拟软件本身,更多的还是在传统网络架构和安全控制方面。...
随着很多企业开始裁减IT部门的开支,虚拟化开始逐渐取代传统服务器,从原有的简单应用,转向真正意义上的企业应用。相对的,虚拟机蕴含的风险也在上升。这种风险不单来自于虚拟机管理程序(Hypervisor)或者虚拟软件本身,更多的还是在传统网络架构和安全控制方面。由此,虚拟化安全问题越来越引人关注。
虚拟化软件都会有或多或少的缺陷和安全漏洞。拿最主要的虚拟机管理程序举个例子。它的一个叫“Hyperjacking”的漏洞,可以让黑客成功的控制整个系统,从而不受限制的进入该服务器上的所有的虚拟机。而一个物理服务器往往运行着很多虚拟机,所以这种威胁破坏性极大。“由于目前的IT网络架构、运作模式、部署服务器的生命周期和管理方法很难改变,因此安全厂商对这种来自Hypervisor的隐患毫无办法。”Nemertes研究中心的分析师Andreas Antonopoulos如是说,“如果改变以上整个体系来迁就虚拟化安全,所带来的问题会更加复杂。”
随着虚拟化的灵活性和便捷性日益提升,我们注意到它的一个安全盲点——虚拟机中的网络流量能见度问题。金融网络服务公司BTRadianz的前CTO Lloyd Hession 担忧道:“用户无法监控虚拟服务器之间的网络流量,这些数据包从未离开过真实的服务器。因而传统的安全工具无法分析这些流量。”
如今,很多公司开始在数据中心里应用虚拟服务器。而随着这些关键性应用从物理服务器向虚拟机转移,上述的网络流量能见度问题就可能带来很多麻烦,而且会随着虚拟机规模的增长而越来越严重。据市场研究公司IDC预测,到2011年,企业用户在虚拟化领域的投资将从2006年的55亿美元增长到117亿美元。
以医疗保健行业的软件服务提供商Quantros为例。该公司的主要业务是为医院和保健商提供定制的软件,并帮助管理病人的私人资料。去年,Quantros公司开始改造它已经老化的网络。而为了控制成本,Quantros采用了VMware的ESX服务器虚拟化平台来虚拟它的一些WEB服务器和用于软件开发的服务器。
刚开始确实很有效,虚拟化为Quantros带来了很显著的性能提升和相对很少的成本投入。因此,Quantros加大了对虚拟化的投资。如今,Quantros拥有55个物理服务器和40个虚拟服务器,而它所面临的多种安全威胁也开始令人焦虑。首先,传统的网络入侵防御系统无法保护基于同一个物理服务器的众多虚拟服务器。其次,当新的安全补丁出来时,维护这众多的虚拟机也变成了费时费力的工作。此外,Quantros还必须确保每一个虚拟系统都能严格遵循公司规定的安全级别和补丁策略。
为了解决这些安全隐患,Quantros转向了Blue Lane技术公司的ServerShield。Blue Lane公司去年推出了虚拟盾(VirtualShield)软件,运行在主机管理程序和它的虚拟机之间。它能够阻止那些恶意软件接触到虚拟机,并可以对虚拟机之间的流量进行分析和监控。
其实,任何公司,在谈到虚拟化的时候都应该对上述安全问题有所考虑。“许多公司,一开始只是试探性的应用虚拟化设备。之后,他们发现这除了可以节省一些开支,还能增加业务的灵活性。”Citrix系统的首席安全战略家Kurt Roemer说道,“但他们并没有意识到虚拟化将改变他们现存网络的基本结构,其传统的控制方式也将改变。” 这种基本网络结构的变化对安全有着重大的影响,因为处于同一服务器中的虚拟机之间的通信,几乎不经过传统的物理网络平台,也就避开了传统安全工具的监控。一些标准的安全工具,如入侵防护系统,就会被隔离在这种虚拟流量之外。很多基于传统网络环境的工具,如流量捕捉、数据库及其他应用软件监控,都无法获取它们所需要的信息。而如果在所有的虚拟机里安装防火墙,所带来的CPU性能损失将无法接受。另外,现有的补丁管理工具也很难支持虚拟化系统。
为了对不同安全级别的应用作出划分,一些公司将系统划分为可信任区,非可信任区和可向公网开放的区域。比如,把一些拥有重要关键性数据的虚拟机划分到安全等级很高的区域里;而一些对安全要求不高的信息则被划分到非可信任区。这些区域采用物理方式划分,方法有很多种。限于篇幅,这里就不再赘述了。
值得注意的是,用这种划分安全区的方法来保护虚拟环境,将大大限制虚拟化的效率。企业不得不为划分这些区域而添加更多的服务器。“诚然,虚拟化带来的好处和投资回报使得它发展的异常迅速。企业用户借助虚拟化可以灵活的部署更多的数据库服务器、WEB服务器和应用服务器。”分析师Antonopoulos说,“然而我们现在也面临这样的困惑,一方面我们希望通过虚拟化来获得更高的硬件资源利用率、灵活性和投资回报,但另一方面我们也面临着很多安全性的问题。”
上文提到,在多个虚拟机中运行安全软件,将增加CPU的负载。Burton Group公司的分析师Pete Lindstrom表示:“人们一般在传统的物理服务器上部署了大量的安全工具。但如果将它部署在众多的虚拟环境里,这种应用就显得奢侈和浪费资源。”
有的公司曾尝试将一个虚拟路由服务器,架设在物理网络与虚拟机之间。这样所有虚拟机与外部的通信都会经过这个“哨卡”,以预防入侵和恶意软件。但是这样做将增加系统的复杂度,并导致网络性能的下降。也就是说,一旦面对大规模的虚拟机系统,这种牺牲性能的方法也将无所作为。
很多安全厂商都在积极推出有自己特色的虚拟系统。比如Skybox Security针对虚拟环境升级了自己的软件,在其Skybox View 4.0风险管理与网络建模套件中提供了对Juniper和Cisco虚拟防火墙的支持。该软件可以从不同的数据源,如防火墙、路由器、入侵检测系统、扫描仪、服务器和应用软件中抽取数据,然后通过它的风险模型对其进行处理,并将结果与业务目标和安全策略进行对比分析。
为了帮助合作伙伴更好的完善其虚拟环境的安全特性, VMware开始倡导它的VMsafe APIs应用程序接口。VMsafe APIs允许第三方安全供应商构建监控和保护系统管理程序?。它作为一种安全应用服务,使厂商可以自行开发工具,来阻止病毒和木马,并监视网络流量,建立与虚拟机结合更紧密的一整套防御体系。目前约有二十个供应商正致力于采用VMsafe API进行虚拟化安全产品的研发,包括Check Point软件、McAfee、Symantec以及VMware母公司EMC的RSA安全系统。
分析师Lindstrom认为:“VMsafe对市场发出了一个信号,VMware公司正在采取积极的策略,与第三方安全供应商合作,来完善和改进虚拟化环境。”
但这种开源的策略本身也是一把双刃剑。“虽然安全厂商可以根据APIs与系统商互动,从而开发出更好的安全工具。但是,攻击者也可以利用APIs开发相应的攻击软件,对系统造成更大威胁。”优利系统公司的Hoff说道。
诚然,虚拟环境的安全风险与日俱增,但是相应的解决之道也与时俱进。“针对虚拟化的安全工具正在日趋成熟。”高级顾问Hession说,“安全厂商正在不停的改进他们的相关产品。在市场的检验下,这些工具最终会成为整个网络结构的一部分。”而试图从虚拟化当中获得降本增效的公司,将加速这一进程。
(本文不涉密)
责任编辑:
上一篇:虚拟化安全焦点:四问虚拟防火墙