如何安全配置虛擬化
服務(wù)器虛擬化可以實(shí)現(xiàn)在更少的硬件資源上運(yùn)行更多的操作系統(tǒng)和應(yīng)用,用戶使用服務(wù)器虛擬化技術(shù)可以根據(jù)需要更快地對新資源進(jìn)行分配。但是這種靈活性使負(fù)責(zé)網(wǎng)絡(luò)和安全的經(jīng)理們產(chǎn)生這樣一個憂慮,是否虛擬環(huán)境下的安全風(fēng)險會蔓延到整個網(wǎng)絡(luò)上?
Exactech的網(wǎng)絡(luò)管理員Craig Bush表示:“之所以我們暫時不考慮采用服務(wù)器虛擬化技術(shù)就是因?yàn)槲衣犝f了虛擬管理器可能帶來的安全風(fēng)險。”
以下是目前人們在虛擬環(huán)境下最為關(guān)注的四個安全問題:
1、虛擬機(jī)可能帶來的安全問題
IT經(jīng)理們擔(dān)心針對虛擬機(jī)的安全攻擊可能會影響到在同一主機(jī)環(huán)境下的虛擬機(jī)。如果一臺虛擬機(jī)可以“避開”他所處的獨(dú)立環(huán)境而與配套的虛擬管理器協(xié)同工作的話,那么攻擊者就無法攻進(jìn)管理其他虛擬機(jī)的虛擬管理器,也就不必專門針對保護(hù)虛擬機(jī)而進(jìn)行安全控制了。
“虛擬世界中安全問題的尚方寶劍就是避開虛擬機(jī),掌握對虛擬機(jī)和虛擬環(huán)境的控制。”Burton Group高級分析師Pete Lindstrom最近在一個有關(guān)虛擬化技術(shù)安全問題的網(wǎng)絡(luò)廣播中這樣說道。
雖然已經(jīng)有了許多嘗試這種避開虛擬機(jī)的例子,但是還有人指出目前還沒有出現(xiàn)在虛擬機(jī)安全方面發(fā)生的災(zāi)難故障。
Catapult Systems公司咨詢師Steve Ross表示:“在我看來,目前還沒有哪個黑客可以通過虛擬管理器將安全問題從一個虛擬主機(jī)上轉(zhuǎn)移到另一個虛擬主機(jī)上。”
美國緬因州Bowdoin College大學(xué)系統(tǒng)工程師Tim Antonowicz表示:“也許這種情況會發(fā)生,黑客或者攻擊者可能從一個虛擬機(jī)上轉(zhuǎn)移到另一個虛擬機(jī),但是到目前為止我還沒有發(fā)現(xiàn)有任何的功能中斷情況。”Antonowicz應(yīng)用了VMware ESX來進(jìn)行服務(wù)器虛擬化,他根據(jù)虛擬機(jī)上的數(shù)據(jù)信息和應(yīng)用的靈敏性程度,將虛擬機(jī)從資源集群中隔離出來,從而將安全隱患降到最低水平。他說:“你不得不以這種方式將虛擬機(jī)隔離開來,這樣才能加強(qiáng)安全性。”
美國芝加哥Cars.com公司技術(shù)操作總監(jiān)Edward Christensen也采取相同的做法對架構(gòu)中的虛擬機(jī)進(jìn)行隔離。他說:“確保IT環(huán)境安全的通常做法就是在數(shù)據(jù)庫和應(yīng)用層之間建立防火墻。但是當(dāng)你處在虛擬環(huán)境下,問題就復(fù)雜多了。”這家在線汽車公司使用虛擬機(jī)來對其配置的惠普服務(wù)器進(jìn)行虛擬化,在網(wǎng)絡(luò)外存儲虛擬環(huán)境可以從一定程度上緩解安全問題。
2、為虛擬機(jī)打補(bǔ)丁
虛擬機(jī)的普及會帶來一個問題:虛擬機(jī)開發(fā)的簡易性會導(dǎo)致更多預(yù)期之外的應(yīng)用實(shí)例出現(xiàn),尤其是在虛擬環(huán)境下對操作系統(tǒng)的升級和更新。
Burton Group分析師Lindstrom表示:“因?yàn)檫@些虛擬機(jī)并不是固定的,所以為這些虛擬機(jī)打補(bǔ)丁成為一個嚴(yán)峻挑戰(zhàn),在虛擬世界中確保一臺虛擬機(jī)上的補(bǔ)丁程序的合法化是非常重要的。”
IT經(jīng)理都表示認(rèn)同打補(bǔ)丁是虛擬環(huán)境下一項(xiàng)重要工作,但是他們之間的分歧主要集中在為虛擬服務(wù)器打補(bǔ)丁和為物理服務(wù)器打補(bǔ)丁并不是一個安全問題,而是卷容量問題。
Catapult公司分析師Ross表示:“我們需要謹(jǐn)記一點(diǎn),虛擬服務(wù)器和物理服務(wù)器一樣需要進(jìn)行補(bǔ)丁管理和補(bǔ)丁維護(hù)。”Transplace有三種虛擬環(huán)境,其中兩個是在網(wǎng)絡(luò)中而另一個是在DMZ中(包括大約150臺虛擬機(jī)),“虛擬管理器為升級更新添加了新的層,但是打補(bǔ)丁這項(xiàng)工作無論在虛擬機(jī)還是物理機(jī)上都是十分重要的。”
在Antonowicz看來,現(xiàn)在虛擬機(jī)普遍應(yīng)用之后首先要面臨一個優(yōu)先考慮的問題,因?yàn)楫?dāng)在他直接管理下的虛擬機(jī)數(shù)量增加時,也就意味著為虛擬機(jī)打補(bǔ)丁所花費(fèi)的時間更長了。早過去,他要給40臺服務(wù)器打補(bǔ)丁,而現(xiàn)在這個數(shù)量增加到了80臺,他希望有一天能夠使用一款專門的工具來自動完成這個打補(bǔ)丁的工作。
他說:“如果不加以強(qiáng)行控制的話,虛擬環(huán)境就會瘋漲。在我們引進(jìn)更多的虛擬機(jī)設(shè)備前,我希望業(yè)內(nèi)能夠推出一款專門打補(bǔ)丁的自動化工具。”
3、在DMZ上運(yùn)行虛擬機(jī)
通常許多IT經(jīng)理都會避免將虛擬服務(wù)器在DMZ中運(yùn)行,而其他IT經(jīng)理則不會在DMZ或那些被企業(yè)級防火墻保護(hù)的虛擬機(jī)中運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用。但是Burton Group分析師Lindstrom指出,只要有適當(dāng)?shù)陌踩Wo(hù)措施,用戶完全可以將虛擬服務(wù)器在DMZ中運(yùn)行。他說:“只要防火墻或其他獨(dú)立設(shè)備是物理環(huán)境下的,你就可以在DMZ中應(yīng)用虛擬化技術(shù)。大多數(shù)情況下,只要你將資源分離開,就可以放心的運(yùn)行應(yīng)用了。”
許多IT經(jīng)理都開始著手將他們的虛擬服務(wù)器進(jìn)行分離,并設(shè)置在企業(yè)級防火墻的保護(hù)下。Transplace公司IT架構(gòu)總監(jiān)Scott Engle認(rèn)為,有價值的東西都在防火墻保護(hù)下,那些在DMZ中運(yùn)行的虛擬機(jī)應(yīng)用包括DNS等服務(wù)。
Engle表示:“我們在托管主機(jī)中運(yùn)行虛擬機(jī)。在DMZ中,我們將運(yùn)行帶有少量VMware實(shí)例的物理服務(wù)器,但是我們不會將托管服務(wù)器和未托管網(wǎng)絡(luò)連接起來。”
4、新引入的虛擬管理器技術(shù)可能會讓黑客有機(jī)可乘
任何一套新的操作系統(tǒng)都可能有很多漏洞,這也就意味著黑客們也會極力找出虛擬操作系統(tǒng)致命弱點(diǎn)以發(fā)出安全攻擊。
業(yè)內(nèi)觀察家建議安全經(jīng)理應(yīng)該謹(jǐn)慎對待虛擬操作系統(tǒng),這些虛擬操作系統(tǒng)可能帶來的安全隱患恐怕不是所有手動操作都能解決的。
Ptak,Noel and Associates的首席分析師Richard L. Ptak表示:“虛擬系統(tǒng)實(shí)際上是一套全新的操作系統(tǒng),可以實(shí)現(xiàn)底層硬件和環(huán)境的緊密交互,可能帶來的管理換亂問題不容忽視。”
但是,虛擬管理器可能帶來的安全隱患也許比人們想象中的少。像VMware等公司都開始致力于最大程度上降低虛擬管理器技術(shù)可能存在的安全漏洞。
Internet Research Group首席分析師Peter Christy表示:“VMware此舉是一個很好的示范。但是一個管理器僅僅是出于表層的一小部分代碼,要比確保8000萬行代碼的安全性要容易多了。”
評論