加強資料中心虛擬化安全的10個步驟

虛擬伺服器是有很多好處，但它的安全問題完全暴露了嗎？ 如何確保安全性？ 可以採用下面十個積極步驟。 2007年，資料中心虛擬化方面的重大問題 還是「該技術可節省多少資金和時間？ 」而到2008年，這個問題將變成「採用該技術，我們會有多安全？ 」這是一個極難回答的問題。 一大批拼命推銷虛擬化產品和服務的廠商、顧問在風險及如何防範風險方面存在相左的觀點。 同時，一些安全研究人員也在大肆宣傳理論上存在的風險，比如可能會出現的惡意軟體。 市場研究公司伯頓集團的高級分析師Chris Wolf說: 「現在虛擬化方面的動靜很大，讓人暈頭轉向。 」許多IT部門表示，在2007年開始創建成千上萬個新的虛擬機器時，他們認為運行速度比其他因素(如安全規劃)更重要。 IDC公司負責企業系統管理軟體的研究主任Stephen Elliott說: 「安全是虛擬化擴建過程中被遺忘的一個角落。 要是想想現在虛擬機器的數量，確實挺讓人擔憂。 」據IDC聲稱，如今，員工總數不少於1000人的公司當中有75%在使用虛擬化技術。 Gartner公司的副總裁Neil MacDonald在去年10月舉辦的Symposium/ITxpo大會上預測，到2009年，60%的生產虛擬機器安全性將不如物理伺服器。 安全專家Chris Hoff認為，到目前為止，圍繞虛擬化安全的討論大部分都是片面的。 他是優利系統公司安全創新部門的首席架構師。 其實應該這麼考慮: 「已經把知道的安全知識運用到了虛擬化環境中嗎？ 我們應當確保構建的虛擬網路要與構建的物理網路一樣可靠、安全。 」某些IT部門正在犯一個根本的錯誤: 他們讓伺服器部門單槍匹馬地開展虛擬化專案，沒有讓IT團隊的安全、存儲和網路專家參與進來。 這會給虛擬化技術帶來內在的安全問題缺陷。 伯頓集團的Wolf說: 「虛擬化絕大部分靠規劃，而規劃必須讓全部團隊參與進來，包括網路、安全和存儲等團隊。 」而事實上，大多數IT團隊在迅速推進虛擬化的專案，安全方面的工作跟不上。 如果錯失了與所有專家一起規劃的大好機會，那該怎麼辦呢？ Wolf說: 「安全方面想迎頭趕上，不妨從認真審查虛擬基礎設施入手，這要借助工具或者顧問。 」下面是企業為了加強虛擬機器安全可以採取的十個積極步驟:一 控制虛擬機器的數量創建虛擬機器只要短短幾分鐘。 但虛擬機器數量越多，面臨的安全風險也越大。 所以，最好能夠跟蹤所有的虛擬機器。 Arch Coal公司負責IT的CIO Michael Abbene說: 「我們先對很不重要的測試和開發設備進行了虛擬化處理，然後轉向一些不太重要的應用伺服器。 因為一直很成功，所以我們把目標放在比較重要的伺服器上，但這麼做會加大風險係數。 」該公司目前大約有45個虛擬機器，包括活動目錄伺服器以及幾台應用伺服器和Web伺服器。 那麼，如何控制伺服器數量激增？ 一個方法是: 創建虛擬伺服器要像創建物理伺服器一樣嚴格。 在Arch Coal公司，IT團隊對創建新虛擬機器的審批很嚴。 「無論是物理伺服器還是虛擬伺服器，都要通過同樣的流程才能獲得批准。 」Arch Coal的微軟系統管理員Tom Carter說。 為此，Arch Coal的IT部門通過一個委員會(由伺服器和存儲等不同部門的IT員工組成，實現輪崗制)批准或者否決申請。 這意味著應用開發部門的人員根本無法擅自構建VMware伺服器，不過他允許開發人員提出要求。 專家認為，虛擬機器數量激增是一大問題，會導致管理、維護性能及配置供應的能力出現滯後。 「另外，如果虛擬機器的數量超出了控制範圍，就會出現意料不到的管理成本。 」Tom Carter說。 二 運行更多流程虛擬化技術最吸引人的也許在於速度: 只要幾分鐘就能創建虛擬機器，可以輕鬆移動，只需要一天而不是幾周即可提供新的計算功能。 但IDC的Elliott認為，放慢節奏，認真考慮虛擬化成為現有IT流程的一部分，就能夠從根本上預防安全問題。 Elliott說: 「流程至關重要。 考慮虛擬化時不僅要站在技術的角度，還要站在流程的角度。 」舉例說，如果使用ITIL來指導IT流程，就要考慮虛擬化是否適合流程框架。 如果使用其他IT最佳實踐，也要考慮虛擬化的適應性。 Hoff舉例說: 「如果要加強伺服器安全，就應當對虛擬伺服器採取與物理伺服器同樣的一套做法。 」在Arch Coal公司，Abbene的IT團隊就是這麼做的。 Abbene說: 「我們確保物理伺服器安全的最佳實踐運用到了每一個虛擬機器上。 」加強作業系統安全、在每一個虛擬機器上運行反病毒軟體、確保落實補丁管理，這些措施使得虛擬機器具有同樣的安全流程。 三 利用安全工具是否需要一套全新的安全和管理工具來保護虛擬化環境？ 不需要。 明智之舉就是，從保護物理伺服器和網路環境的一套現有安全工具入手，然後運用到虛擬環境。 但一定要瞭解廠商是如何跟蹤虛擬化風險、將來如何與其他產品進行集成的。 IDC的Elliott說: 「保護實體環境的工具用於保護虛擬化環境是一種虛假的安全感。 」同時他又說: 「對虛擬化環境的新型安全工具而言，目前處於市場的早期階段。 這意味著必須對傳統廠商以及潛在的新興廠商施加壓力。 」別以為平台層面的工具(如VMware的工具)足夠好。 要看一看新興公司和傳統管理廠商。 對那些傳統廠商施加壓力，要求他們做更多的工作，並為他們提供指導。 馬自達北美公司的CIO—Jim DiMarzio就在他的企業中採用了這項策略。 與Arch Coal一樣，馬自達北美公司也在虛擬伺服器的核心處運行VMware的ESX Server 3軟體，最近一直在增加虛擬機器的數量。 DiMarzio說，他預計到2008年3月會有150個虛擬機器。 為了保護這些虛擬機器的安全，DiMarzio決定繼續使用現有的防火牆和安全產品，包括IBM的Tivoli Access Manager、思科防火牆工具以及賽門鐵克的入侵偵測系統(IDS)監控工具。 Arch Coal公司的Abbene及其團隊也繼續使用原有的安全工具，同時又在調查BlueLane 和Reflex Security等新興公司的工具。 Abbene說: 「傳統安全廠商正在奮起直追，他們在這方面落後于新興公司。 」四 採用嵌入式管理程式伺服器上的虛擬機器管理程式層充當虛擬機器的基礎。 VMware近期宣佈推出的ESX Server 3i虛擬機器管理程式的獨特之處在于不包括通用作業系統。 出於安全上的考慮，它採用了精簡設計，只佔用32MB空間。 像戴爾和惠普這些硬體廠商近期表示，它們會在物理伺服器上交付像VMware這種虛擬機器管理程式的嵌入式版本。 基本上，嵌入式虛擬機器管理程式因為比較小，所以比較安全。 專家認為，嵌入式虛擬機器管理程式是將來的一大趨勢。 不但從未涉足過這個領域的一些公司會提供嵌入式虛擬機器管理程式，大多數伺服器廠商也會提供。 BIOS軟體領域的市場領導廠商Phoenix Technologies近期宣佈: 進入虛擬機器管理程式領域，首先會推出名為HyperCore的產品，即面向桌面和筆記本電腦的虛擬機器管理程式。 使用者開機後，可以使用網路瀏覽器和電子郵件等客戶軟體，無須等待啟動Windows(HyperCore將被嵌入到電腦的BIOS中)。 虛擬機器管理程式市場的競爭和創新對企業來說是好事。 最終可能出現的結果是，許多公司會競相提供最精簡、最智慧的虛擬機器管理程式軟體。 Hoff說: 「無論是Phoenix還是其他廠商，會出現備受關注的競爭，這些虛擬機器管理程式都希望成為下一個優秀的作業系統。 」五 限制訪問虛擬機器許可權如果賦予了訪問虛擬機器的管理員級別許可權，也就是賦予了訪問該虛擬機器上所有資料的許可權。 伯頓集團的Wolf建議，要慎重考慮員工需要哪種帳戶和存取權限。 更複雜的問題是，有些協力廠商廠商針對虛擬機器的存儲和備份安全的建議是過時的。 Wolf又說: 「有些廠商甚至本身就沒有遵守VMware針對VMware Consolidated Backup的最佳實踐。 」Arch Coal的資訊安全管理員Paul Telle說，總體而言，公司特別注意限制訪問虛擬機器的管理員許可權。 他指出，公司裡只有一小部分人才擁有這樣的許可權。 應用開發人員應該只有最小的存取權限。 「我們的應用開發人員可以訪問共用區域，這是最小的存取權限。 他們無法訪問作業系統。 」他說，這有助於控制虛擬機器數量激增，同時增強了安全性。 六 留意存儲資源有些企業在SAN上提供過多的存儲資源，這就可能錯誤地讓虛擬機器的共用區域成為SAN的一部分。 如果使用VMware移動虛擬機器的工具VMotion，會在SAN上分配一些分區存儲資源。 但還要細化存儲資源的分配，就像在實體環境下那樣。 展望未來，N-port ID虛擬化技術是一個選擇，這項技術可以只為一個虛擬機器分配存儲資源。 七 隔離網段企業走上虛擬化道路，不該忽視與安全有關的網路流量風險。 但其中一些風險很容易被忽視，如果在進行虛擬化規劃時沒有網路和安全人員參與，更是如此。 Wolf說: 「許多企業只是把性能作為合併伺服器的度量標準。 」舉例說，有些CIO絕對不允許任何虛擬伺服器出現在「非軍事區(DMZ)」。 (DMZ是存放外部服務到互聯網的子網路，就像電子商務伺服器一樣，它在互聯網和局域網之間增加了緩衝區)。 Wolf說，要是DMZ裡面果真有幾個虛擬機器，就要放在與一部分舊系統(如關鍵的Oracle資料庫伺服器)分開在的獨立網段上。 Abbene說，在Arch Coal公司，IT團隊一開始就考慮到了DMZ。 他們把虛擬伺服器部署在內部局域網上，不面向公眾。 Abbene說: 「這是一個關鍵的決定。 」舉例說，公司在DMZ裡面有幾台安全的FTP伺服器以及幾台從事簡單電子商務的伺服器，公司不打算把虛擬機器部署到裡面。 八 注意交換器什麼時候交換器不是交換器？ Wolf說: 「有些虛擬交換器的工作方式類似集線器: 每個埠鏡像到虛擬交換器上的所有其他埠。 」特別是如今的微軟Virtual Server帶來了這個問題。 VMware的ESX Sserver不會，思傑的XenServer也不會。 他說: 「人們一聽到‘交換器’，就認為有隔離機制。 這其實視廠商而定。 」微軟聲稱，交換器問題會在即將發佈的Viridian伺服器虛擬化軟體產品中得到解決。 九 監控「非法」虛擬機器要擔心的不僅僅是伺服器。 Wolf說: 「最大的威脅在用戶端上—非法虛擬機器(rogue VM)。 」 那麼，什麼是非法虛擬機器？ 使用者能夠下載及使用VMware Player這樣的免費程式，會讓桌面和筆記本電腦使用者可以運行由VMware Workstation、Server或者ESX Server創建的任何虛擬機器。 如今許多使用者喜歡在桌面或者筆記本電腦上使用虛擬機器分開各部分工作，或者分開公事與私事。 有些人使用VMware Player在一個機器上運行多個作業系統。 比如使用Linux作為基本作業系統，卻創建一個虛擬機器來運行Windows應用。 Wolf說: 「這些虛擬機器甚至沒有打上相應的補丁。 那些系統暴露在網路上因而所有未加管理的作業系統易受攻擊。 」這會增添很多風險: 運行非法虛擬機器的機器可能會傳播病毒。 更糟糕的是，可能還會傳播到物理網路上。 舉例說，有些人就很容易載入DHCP伺服器以便分配虛假IP位址。 這實際上就是一種拒絕服務攻擊。 至少，會把IT資源浪費在查明問題上。 甚至有可能是簡單的使用者錯誤，也會給網路帶來不必要的負擔。 那麼如何防範非法虛擬機器呢？ 首先應當加以控制，規定誰可以獲得VMware Workstation(因為創建虛擬機器需要它)。 IT部門還可以使用群組安全性原則來防止某些可執行程式運行，比如安裝VM Player所需的可執行程式。 另一個選擇是，定期審查使用者的硬驅。 需要找出裝有虛擬機器的機器，然後標記出來，以便IT部門採取適當行動。 這是不是已成了使用者和IT部門之間的另一個爭論點—精通技術的使用者需要在公司能像在家裡那樣使用虛擬機器？ Wolf說還沒有。 他說: 「大部分IT部門對此置之不理。 」如果允許使用者在電腦上運行虛擬機器，VMware的Lab Manager及其他管理工具可以説明IT部門控制及監管這些虛擬機器。 十 做好虛擬化安全預算IDC的Elliott說: 「確保分配好虛擬化安全和管理方面的預算。 」Arch Coal公司的Abbene指出，可能不需要在安全預算中為虛擬化安全單列預算，但全部安全預算最好為它留出足夠多的資金。 另外，在估算虛擬化的投資回報時要留意安全成本。 Hoff指出，對越來越多的伺服器進行虛擬化處理，並不會使安全開支有所降低，因為需要運用現有的安全工具來管理每個虛擬機器。 如果沒有預料到這筆開支，可能會減少投資回報。 據Gartner聲稱，這是目前常犯的一個錯誤。 據Gartner的副總裁Neil MacDonald聲稱，到2009年，部署的虛擬化技術大約有90%會面臨未預料到的成本，比如安全成本等，這會影響投資回報。 【相關文章】安全基礎知識：虛擬伺服器管理之道【責任編輯：于捷 TEL：（010）68476606】 原文：加強資料中心虛擬化安全的10個步驟 返回網路安全首頁