企業資料中心虛擬化安全架構的三個重點

【天極網伺服器頻道5月29日消息】目前資料中心中普遍採用HTTP://www.aliyun.com/zixun/aggregation/13883.html">虛擬化技術，而虛擬平臺增加了額外的一層安全要求。 當引進新的虛擬化技術時，資料中心增加了新的安全風險，例如，在一個管理管理程式中運行多個虛擬機器的風險。 同時還有虛擬機器鏡像和客戶作業系統的安全以及物理安全設備的虛擬實例，例如，從一個物理防火牆和入侵防禦系統進入運行同樣的服務的虛擬鏡像。

虛擬安全市場正在迅速解決與客戶虛擬機器有關的安全問題。 雖然從戰術方面看管理程式是資料中心中最不容易被利用的部分，但是，從戰略上看，管理程式是虛擬資料中心最誘人的攻擊目標，因為攻破這一點就可以訪問資料中心的多個虛擬系統。

企業應該分析自己使用的虛擬平臺的具體風險。 重要的是要知道這個架構的變化如何影響到現有的安全管理系統。 企業IT部門在向虛擬機器遷移或者應用虛擬機器之前還應該制定戰術的和戰略的安全計畫。 這些安全計畫是通過對現有的虛擬安全進行綜合分析實現的，同時還要計畫應付虛擬平臺的未來的安全威脅。 規劃以及當前架構和安全管理中的小的變化有助於防禦未來的管理程式和平臺級的虛擬化攻擊。

總的來說，作為整個虛擬化安全架構的一部分，IT部門應該把重點放在三個虛擬化方面：

按照位置分開虛擬機器

虛擬安全領域經常討論的問題之一是在隔離區使用虛擬平臺。 經常看到一個物理虛擬機器主機在隔離區運行公共的和專有的虛擬機器，這兩個安全領域的區分是在軟交換器上實施的。 在實踐上，這種架構沒有實體環境的架構那樣安全，因為這種架構的虛擬機器和物理機器共用運行環境。 在物理領域，公共機器應該插入同一台交換器，虛擬區域網路應該與專用機器分開。 採用虛擬平臺，這個計算的區分就消失了。 一台主機上所有的虛擬機器將共用CPU、記憶體、匯流排和網路資源。 從理論上說，這個共用的虛擬架構提供了從公共網路向專有網路機器實施直接攻擊的線路。 這相當於把你的全部隔離區的雞蛋都放在一個籃子裡。 虛擬平臺上的一切都是由相同的軟體共用和管理的。 控制虛擬區域網路部分的軟體也控制這個主機的IP堆疊。 那個主機上的IP堆疊中的安全性漏洞會使整個客戶網路處於危險之中。

消除共用的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機器與專用的虛擬機器分開，在不同的主機上運行和管理這些虛擬機器。 所有公開的虛擬機器都應該放置在公開的主機伺服器上，用電纜線連接到物理地分開的網路。 對於使用VMware公司的vCenter技術大規模實施虛擬化的企業來說，把公共資源與專用資源集群(許多組主機根據資源組成一個單一的管理池)分開也是很重要的。 例如，VMware公司的DRS軟體能夠在一個集群中的主機之間動態遷移虛擬機器。 如果公共的和專有的主機在一個集群中是共用的，一個DRS事件就可以根據資源的需求把一個專用的虛擬機器遷移到公共主機伺服器，從而取消了任何資源區分的好處。

根據服務類型分開虛擬機器

一旦根據位置分開虛擬資源之後，下一步就是根據任務或者服務分開虛擬機器。 換句話說，就是讓全部的網路伺服器虛擬機器在一個資源池和集群中，讓所有的應用虛擬機器在另一個資源池或者集群中。 同在隔離區內分開位置一樣，這個架構旨在限制那些與攻破虛擬平臺有關的風險。 如果一個攻擊者能夠攻破一個客戶虛擬機器，在同一個物理主機上運行的其它客戶機預計也會被攻破，因為它們共用同樣的運行環境。 如果在一個主機上運行的所有的虛擬機器都是相同的並且都執行同樣的任務，而且整個系統沒有完全暴露，攻擊者不必利用10個虛擬機器安全性漏洞，能夠利用一個虛擬機器的漏洞就夠了。

另一方面，如果一個主機伺服器正在所有的應用層運行(這些應用層包括網路伺服器、應用程式伺服器和資料庫伺服器)，攻擊者通過利用前端網路瀏覽器漏洞能夠獲得後端資料庫的存取權限。 現在，資料庫將有更大的風險，因為它與網路伺服器在同一台主機上運行，共用同樣的資源。 根據服務分開虛擬機器有助於緩解這個風險，方法是隔離虛擬應用程式並且讓虛擬機器保持與具體的硬體資源和集群的聯繫。 利用一種類型的虛擬機器任務的安全性漏洞不會直接使其它虛擬機器任務面臨風險。

整個虛擬機器生命週期內有預見性的安全管理

虛擬機器和平臺的主要好處之一是能夠方便地創建、移動和撤銷虛擬機器。 當需要新的服務的時候，可以創建虛擬機器或者提取存檔的虛擬機器，然後根據需要進行設置。 隨著需求的增長，人們可以克隆虛擬機器或者動態地為虛擬機器分配額外的資源。 隨著需求的減少，人們可以撤銷這些虛擬機器的設置，使這些虛擬機器不再消耗資源。 虛擬機器的創建、移動和銷毀過程構成了虛擬機器的生命週期。

虛擬機器在生命週期的每一個步都容易受到安全威脅。 當從頭開始創建新的虛擬機器的時候，重要的是要保證虛擬機器使用最新的安全補丁和軟體。 當克隆虛擬機器鏡像和移動虛擬機器的時候，重要的是保持每一個虛擬機器的穩定狀態,以便了解這些虛擬機器是否需使用了最新的補丁或者是否需要使用補丁。 隨著時間的推移，很容易重複地克隆一個使用了補丁的鏡像，最終使各種虛擬機器保持各種補丁水準。 由於鏡像存儲很長時間沒有使用，這些虛擬機器可能會過時，需要在使用的間歇時間裡離線使用補丁，以保證它們在下一次啟動的時候盡可能是安全的。 同遷移的虛擬機器一樣，資產管理對於銷毀虛擬機器和防止閒置的虛擬機器在資料中心蔓延成為未知威脅的攻擊目標是非常重要的。