合理规避虚拟化应用带来安全风险
避开管理程序的威胁是一个常见的和存在激烈争论的反对意见。在这种情况下,攻击者有可能从一个被攻破的虚拟机直接攻击管理程序。如果攻击成功,攻击者就能够访问在那台服务器上运行的所有的虚拟机。
目前,这种类型的攻击还仅仅是理论上的东西,但是,考虑到管理程序是软件,而软件总是有漏洞的,这种攻击似乎是合理的。然而,作为虚拟化的反对意见,这种潜在的突破可能性比较低,并不能阻止虚拟化计划。在虚拟化数据中心或者非虚拟化数据中心的攻击向量中,安全突破更多的是来自于简单的设置错误或者由于漏掉使用补丁而暴露的安全漏洞,能够成功地避开管理程序的攻击很少。
避开管理程序的理论不能减少对虚拟网络进行分段的需求。对虚拟网络进行分段要使用最佳安全做法定义的相同的业务重要性规则和数据敏感性的规则。换句话说,虚拟化并不等于“把你全部的鸡蛋都放在一个篮子里”。适当的分段,把物理分段和虚拟分段结合在一起,能够产生重要工作量的固定分段区域。虚拟网络分段允许把不同敏感水平的工作量部署到共享的基础设施,同时强制执行基于政策的分段(不需要物理硬件),从而更好地利用共享的计算资源。
目前,虚拟段式是通过一些虚拟安全设备提供的,主要区别是管理选择和用户界面,而不是实施分段的技术。VMware将在未来发布的软件中推出VMsafe API(应用程序编程接口),让安全厂商提供能够以优化的方式分段和保护网络的产品。设想一下编写一个全面的网络政策的能力。这个政策与客户机绑定在一起,无论在虚拟基础设施的什么地方都能执行。一个分段良好的网络有助于防御当前的真实威胁和未来的理论上的威胁。
另一个主要的反对意见是针对灵活性限的。灵活性是虚拟化的重点之一。虚拟数据中心是一个动态环境。它提供了方便的虚拟机部署和配置变化,从而创建了一个能够迅速适应业务需求的环境。在一个虚拟化的数据中心,管理员能够部署和克隆虚拟机,把客户机迁移到其它服务器,并且用鼠标一点就能方便地修改资源(处理器、内存、硬盘)分配。这种环境的一个不利因素是恶意的或者意外的行动能够产生深远的和颠覆性的后果。动态和迅速的变化能够增加设置错误的风险,不能跟踪虚拟机(也就是虚拟机蔓延)或者防止违反操作政策。
例如,在一个意外设置错误的简单案例中,一个重要的网络服务器通过修改一个虚拟局域网ID把它的网络接口镜像到了一个错误的物理网络,从而造成了连接中断。找出这种简单的设置错误的根源非常耗费时间。由于这种事情涉及到多个管理员,没有可以跟踪的物理电缆、数千个客户机、许多名称类似的虚拟网络等原因,要找到发生设置错误的地方就像大海捞针一样。
控制虚拟化创建的动态环境的最有效的方法是增强现有的操作政策,提供对物理和虚拟网络的更深入的理解。正如有经验的IT专业人员所了解的那样,一个政策只有严格地执行才是好的政策。要保证这个政策的执行,应该使用一些专门的工具监视、跟踪和审计虚拟环境中的活动。然而,要真正有效,这些工具必须提供可见性和“跟踪能力”,让管理员知道虚拟机部署在什么地方和如何部署的。这些工具必须创建一个可审计的证据记录,说明谁在管理这些机器、这些虚拟机和虚拟基础设施做了什么修改。拥有这样一个审计工具,就能够迅速跟踪和纠正上面介绍的一个简单的设置错误造成的中断。
安全反对意见的最后一个原因是在规划虚拟化部署的时候没有让信息安全部门参加,或者没有考虑他们的意见。从一开始就让这些团队参加是非常重要的。在许多情况下,反对意见是因为不太理解虚拟化及其可用的选择。
现有的网络安全和可见性工具提供的虚拟网络的详细信息与安全团队过去见过的那种信息不同,从而强化了这个反对意见。在传统的非虚拟化的网络中,记录服务器清单、跟踪线缆和使用基于网络的工具发现网络和服务器都是可能做到的。一旦实施了虚拟化,这种能力许多都消失了。虚拟化有可能创建现有的工具看不到的网络。
提供网络级智能的虚拟安全设备能够填补老式工具遗漏的空缺。虚拟化的另一个好处是允许这些设备提供非常准确的网络地图和客户机清单。采用被动网络发现方法的工具不能提供这些功能。拥有正确的工具,可视化能力和准确的清单在虚拟环境中是非常有效的。
虽然管理程序厂商的管理工具能够提供一些基本的可视化能力,但是,这些工具是为虚拟管理员设计的。一个能够提供整个环境情景和在这种环境中展示安全的工具将保证安全团队拥有履行保护自己的基础设施安全的职责所需要的可见性和控制力。
这里学到的一个简单的教训是,同其它任何新技术一样,虚拟化也有自己的安全挑战。然而,采取适当的规划和协调的努力使安全成为规划过程的一个组成部分,就有可能得到虚拟化的好处,满足安全人员的需求。安全人员的任务就是保证业务持续性和保护企业数据。