IXPUB技术博客9U Y�h7S�Q1W)U#h据最近一项民意调查显示,70%的调查对象声称自己在运行至少一台虚拟化服务器,然而专门为这一虚拟化环境,制订专门安全策略的还不到调查对象的12%。考虑到针对X86平台的虚拟化产品相对比较新,这一结果并不让人感到吃惊,但这并不意味着这个结果是可以接受的。在没有落实安全计划的调查对象当中,近一半的受访者认为,虚拟机与传统的物理服务器一样安全;另有18%的人承认自己不知道虚拟化技术是否会改变安全行业的游戏规则。IXPUB技术博客)B�B�p�K/b&N�y
h�W�j
IXPUB技术博客3D�Q:q�I�Z*E 毫无疑问,虚拟化是一项重要的颠覆性技术,它会在比较短的一段时间内改变数据中心的现状。因为虚拟化技术具有极强的颠覆性,它显然也会改变企业保护数据及计算基础设施安全的规则。虽然我们并不认为在安全策略完全得到落实之前不该涉足虚拟化领域,但明智的公司在为虚拟化技术制订部署方案时,也会制订安全和管理策略。新的安全威胁来自两个方面:IXPUB技术博客5L8?1L0L�D�J�W�J
IXPUB技术博客(P�c-|�}�\�B/U�x�g 第一个也是最明显的方面是,虚拟化技术带来了额外的软件占用空间(software footprint)。虚拟化常常作为“应用程序”部署在桌面电脑上,作为进程在Windows之类的桌面操作系统下运行。对服务器而言,虚拟机管理程序(hypervisor)已逐渐成为在“裸机”硬件和通用操作系统之间引入一个硬件虚拟层的优先方法。
�V�?;]*S
v9m
{7590422IXPUB技术博客:l2L�B�R�I�D 与通用操作系统由数百万行的代码组成相比,虚拟机管理程序部署就要简单许多,一般这类程序代码均低于10万行,正因为如此,虚拟机管理程序遭受的攻击概率也要小许多。从代码行数来判断,创建安全可靠的虚拟机管理程序是更具有现实意义的目标。可是在现实生活中,询价管理程序依然存在安全缺陷,而在这些漏洞有经常被人所利用。
�K�R6|�E�U S-U�|�P7590422IXPUB技术博客�C!A)c
f#i!\�Y�z�V9m�K�k 因此,各大虚拟化厂商都声称,创建安全的虚拟机管理程序是需要优先考虑的一项重要工作。VMware公司的首席技术官Mendel Rosenblum甚至夸口:VMware的ESX产品不会出现任何安全漏洞,因为没有设计缺陷——当然,部署时仍有可能出现错误。遗憾的是,由于其产品缺少不能与其他厂商的产品进行良好地协同工作,被有些用户弃之不用。虽然现在有些工具能够检测到常规操作系统上的rootkit及其他安全威胁,但目前还没有能够检测到虚拟机管理程序中这些安全隐患的工具。IXPUB技术博客�t#c1b�W�w z
]'~
�{�c,O
a�E�Z4|7590422 针对虚拟化给用户带来的新的安全威胁,目前大致有两种方式可以帮助用户应对:
�\�C�D�~�W�X%G%y7590422�G&g�D-i9I�@�~)u7590422 一种是,随着虚拟化技术变得更加主流化,硬件厂商们可能会从头开始设计最终用户系统,以便提供管理员控制的虚拟机分区和虚拟机管理程序层,从而加大恶意软件侵入系统的难度。IXPUB技术博客�?!Y�q
i�[�W�p�T/Z
IXPUB技术博客�?�|�~0r�V�e4W ? 一种更好的补救方法是,使用大多数基于x86的新系统中所用的可信平台模块(TPM)。使用TPM,就可以检验软件可靠性;虚拟机之间的流量也更容易加密。如果使用TPM的软件签名功能,就更容易确定系统镜像是否被篡改、安全是否受到了危及。因为TPM被设计成用于加密和软件签名的防止篡改的硬件方案,所以它会大大有助于证实各种软件没有遭到恶意软件或者其他途径的破坏。
1C�u7i�{'r7590422IXPUB技术博客�}%\*M�A"S�G�B另一种重大威胁是在同一个系统上的多个虚拟机彼此通信带来的;虽然能够把运行中的虚拟机从一台机器转移到另一台机器,但同时也使得大多数基于网络的安全产品的效果大打折扣。IXPUB技术博客8O#}�|�V�A�k*g0I�t,P)Q
IXPUB技术博客�C&^�O�B�A�s�P 合并服务器是X86虚拟化技术用于实际应用的首要选择之一。这种想法就是,在一台功能强大的服务器上运行诸多虚拟机,从而取代几台甚至是几十台负荷比较小的旧服务器。由于这么多的虚拟机在一个系统上运行,虚拟机之间的通信量就会相当大。针对虚拟机之间服务器内部通信需要,所有虚拟化产品创建一个虚拟交换机,然后服务器上的所有虚拟机共享该虚拟交换机。从防火墙、入侵检测和预防系统到异常行为检测器,这些外部网络安全工具对从不离开物理服务器的网络流量原本都是视若无睹的。IXPUB技术博客�f&X6L9f,H6e#v
$d7B�o"n�\7590422 保护一台服务器上多个虚拟机安全的一种方法就是,确保所有虚拟机运行相似的操作系统;并且每个虚拟机都打上了合理补丁。其想法是,如果在某台服务器上运行的所有系统同样都是安全的,那么它们之间的通信也会是安全的。应当部署基于主机的防火墙等安全产品,提供应有的安全保护。IXPUB技术博客0d�X�a�|�t"l�P
IXPUB技术博客1n7Y'W�u�b I 一种比较好的解决方案是,使用专门为了加强虚拟化环境的安全性而设计的工具。IXPUB技术博客�m;o�Q-T,`6|�H�P5Q�A
IXPUB技术博客"c�]�L�P*@�W&\1m:c0F 顾名思义,虚拟设备(Virtual appliance)就是采用了精简型、加固型操作系统的虚拟机;操作系统经过配置,完全是为了满足该设备针对某种应用的需要。其想法是,为最终用户尽量减少或者消除操作系统配置方面的任何工作,从而实现迅速、一致的部署,而安装人员又不需要多少技能和专长。虚拟设备的应用领域包括网格计算、软件服务化(SaaS)和安全等。
�w7i1u7b�A4d7590422�N!C�V$U Z�i�e�v�~�w7590422 虽然可以针对任何虚拟化环境构建虚拟设备,但VMware公司是这个行当的领头羊,除了建立先试后买的网站外,它还建立了一个交易市场。网站上列出了100多款与安全有关的虚拟设备。其中只有一小部分来自商业厂商,其余的都是由公司内部部门或者开源协作组织开发的。IXPUB技术博客6B�F�g$y6}8J/[�B�c
/J�F�s�w�i4P�Y7590422 上面列出的厂商包括:Astaro公司(统一威胁管理工具)、Blue Lane公司(虚拟化补丁设备)、Catbird公司(安全代理)以及Reflex公司(入侵预防设备)。与普通安全设备保护传统数据中心那样,这些虚拟设备能够堵住虚拟化环境带来的诸多安全缺口。IXPUB技术博客�E�s4l�F/M�o
�e�{�n�t�B+f�k7590422 虽然现在不断出现建立安全虚拟化环境的工具,但要是你认为只要购买一组不同的安全产品就能确保虚拟化安全,那就错了。安全研究公司Neohapsis的首席技术官Greg Shipley给出了这个忠告:“认真分析一下你实际上面临哪些威胁,现在可以使用哪些工具或者方法(可能不需要购买技术!)来帮助缓解这些威胁。”Shipley坚持认为,应当对安全软件厂商持有合理的怀疑态度。他说:“有些厂商试图向使用VMware的所有公司推销其号称一应俱全的产品’。我认为,使用虚拟化技术的用户及消费者要做的一方面工作就是,讨论什么是威胁途径有哪些,然后调查相应的工具。”IXPUB技术博客#G�m�y�d�l�a
-L3p
[�A-i7590422 虚拟化技术将改变从桌面电脑到数据中心的业界现状。做好安全工作则需要我们重新评估安全方法及目标。平台和网络安全是迄今为止大多数安全项目的重心,不过它们会让位于这种重要工作:保护数据安全、只允许安全策略规定可以使用数据的人才能使用它。
�a�Z�~�~"k�r+c7590422
