服务器虚拟化要效率更要安全
行业观察
毫无疑问,服务器虚拟化是一项重要的突破性技术,它正在悄然地改变目前数据中心的架构。不过它对企业的数据安全及基础架构的安全策略提出了新的要求,用户基于角色访问控制、虚拟服务器身份管理、虚拟网络安全、报告/审计等方面需要相关的安全工具。尤其是,黑客可以利用服务器虚拟化技术来隐藏病毒、木马及其他各种恶意软件。因此,服务器虚拟化的安全问题开始被安全厂商陆续提出来,并逐渐被引入市场主流。当然,等到一套明确的安全策略制定完善之后再进行服务器虚拟化部署是不现实的,比较可行的办法是,在部署服务器虚拟化方案的同时,完善企业的安全和管理策略。
服务器虚拟化面临的安全问题
服务器虚拟化带来的安全威胁主要来自由虚拟化增加的软件内存足迹。在桌面端,虚拟化经常被作为“应用”来实现,在桌面操作系统下作为一个线程运行,而在服务器端,采用虚拟机监视器是最通行的方法,虚拟机监视器即运行在物理服务器和通用操作系统之间的硬件虚拟层。虚拟机监视器通常在10万行代码以内,和由数百万行代码组成的通用操作系统相比,创造出一个“防弹”的虚拟机监视器是可能的。尽管如此,漏洞仍可能存在,也就有可能被人利用而进行攻击。虚拟化方案提供商近年来也一直在解决内部的安全问题,同时让互联网安全中心等外部机构使用他们的虚拟化安全基准测试项目,这些项目的目标是解决虚拟化平台的安全问题,也就是解决虚拟机基准水平的运行环境问题,包括封锁外部远程登录、保证只有授权管理员才能使用等。然而,现有的针对Windows Server 2003/2008或者Linux特别发布版等软件的安全威胁,在这些系统移植到虚拟机的时候仍然存在。
另外,服务器虚拟化应用产生的威胁是:同一台物理服务器上,多个虚拟机之间的对话会产生安全隐患,运行中的虚拟机在不同服务器之间迁移,也会在某种程度上降低基于网络的安全产品的效率。X86服务器虚拟化的初衷是进行资源整合,其理念是在一台单一的强大服务器上运行多个虚拟机,以替代多台陈旧的且资源未得到充分利用的物理服务器。如此一来,一台服务器上的不同虚拟机之间的对话就会产生巨大的内部流量。对于同一台服务器内的虚拟机之间的对话,所有的服务器虚拟化产品都是通过一个虚拟的交换机来实现的,它由服务器上所有的虚拟机共享。外部的网络安全工具,从防火墙到入侵检测和防护系统再到异常行为监测器,从理论上说,都无法监测到物理服务器内部的流量。
三种方法让服务器虚拟化更安全
1.可信任平台模块是发展方向
针对服务器虚拟化带来的软件内存足迹安全问题,建立一个安全的虚拟机监视器是一个不错的解决办法。目前厂商们主要采用以下两种方案来保证服务器虚拟化的安全性:一种是硬件供应商重新设计终端用户系统,为管理员提供可控制的虚拟机分区和虚拟机监视器,以此来保护系统免受恶意攻击。值得注意的是,VMware最近所发布的VMSafe计划将为虚拟安全服务提供一个框架,或许能让人对服务器虚拟化的安全问题松一口气,这个方案可以让虚拟安全工具检查和过滤虚拟机的所有内存、CPU、进程、存储以及网络流量,还赋予了虚拟安全工具一定的能力:既可在虚拟机上运行,又能保持与虚拟机内各种恶意程序完全隔离。VMware的这种虚拟安全技术可让企业用户克服保障虚拟化环境的安全所带来的困难,安全工程师可以利用这种虚拟安全技术构建支持服务器虚拟化的安全方案,同时又不会伤及一些重要的虚拟化功能,如虚拟机的资源池和实时迁移功能等。
另一种解决方案是在大多数基于X86的系统中采用可信任平台模块(Trusted Platform Module,TPM),这样做可以检测服务器虚拟化软件的可靠性,虚拟机之间的流量也更容易进行加密。使用TPM软件签名功能可以更容易地确定某一系统映像是否被修改了,确定它是否受到了攻击,这在很大程度上可确保虚拟化软件不受到恶意软件或其他形式的攻击。 目前戴尔和惠普等硬件厂商已经表示,它们会在物理服务器上使用像VMware这种虚拟机管理程序的嵌入式版本。专家认为,嵌入式虚拟机管理程序是未来的一大趋势,BIOS软件领域的市场领导厂商Phoenix Technologies也宣布准备进入虚拟机管理程序领域。
2.及时打补丁成本低、效果明显
要保证在同一台服务器上的多个虚拟机的安全,进行有效的打补丁工作也是必需的措施。随着部署VMware ESX和Citrix Xen进行服务器整合的企业数量不断攀升,这些企业的服务器必将成为恶意软件编写者的攻击目标。正如传统的物理安全环境一样,一个周全的补丁管理策略应该能够处理系统的更新问题。IT管理者也越来越认同补丁在服务器虚拟化环境中的重要作用,虚拟机和物理服务器一样也需要进行补丁管理和日常维护。
3.采用防火墙虚拟化、虚拟设备等安全措施
还有一种解决方案是采用专门的用于改善虚拟环境信息安全的产品,比如针对虚拟化安全问题采用防火墙虚拟化。在这里有必要解释一下,虚拟防火墙和防火墙虚拟化是两个不同的概念。传统防火墙是一个物理的实体,而虚拟防火墙是指在这个物理实体里划分多个虚拟的防火墙,这就好比将一个大房间隔成几个不同的小房间,但是大家从一个大门进来后才能到自己的小房间。而防火墙虚拟化是利用虚拟化平台来搭建一个安全的网络环境,让应用和系统等处于同一个虚拟化平台上,防火墙虚拟化是未来引领虚拟化安全市场的主流。新兴的软件虚拟防火墙可在虚拟环境下进行安全域的划分,用户不用担心因某个应用受到外部的攻击而影响全局,真正达到七层的应用防护。软件虚拟防火墙市场尚在起步阶段,而作为关键应用中的重要一环的虚拟IPS被认为将会较快兴起。实际上,一些安全厂商逐渐在其产品中引入虚拟化技术,并推出相关的虚拟安全产品。
除了采用防火墙虚拟化技术,虚拟设备也是一种选择。虚拟设备让企业不需要安装软件或向网络中添加新的硬件设备,企业用户可以选择新方式来执行安全功能。虚拟设备可以像传统物理设备一样提供安全功能,但它的确位于虚拟机内。软件可能在安装之前被供应商锁定,而虚拟设备可以在不需要供应商的情况下进行启动和安全运行,这些设备可以针对特定的目的进行优化,从而提高性能和消除任何不必要的东西。虚拟设备可以提供传统服务器虚拟化所能提供的功能,而不用部署其他硬件单元或物理服务器来托管软件,虚拟设备可以添加到现有的虚拟服务器组中。
目前VMware已经建立了一个先试用后付费的网站,网站上罗列了100多个与安全相关的虚拟设备:Astaro提供统一的威胁管理产品,Blue Lane的产品是虚拟补丁程序,Catbird是一家安全代理,Reflex提供入侵防护产品。以上这些都表明,虚拟设备和物理设备对于冗余数据中心的作用是一样的,也可以防护虚拟环境造成的安全漏洞。
服务器虚拟化安全需要配套措施
用户在选择服务器虚拟化产品前,必须慎重地考查并判断面临的到底是什么样的安全威胁,而目前已有的安全产品有哪些是可以真正帮助减轻威胁的。做好这一切的前提是需要一个较为完善的安全策略,企业IT部门应该分析自己使用的虚拟化平台的具体风险,重要的是要知道这个架构的变化如何影响到现有的安全管理系统,企业IT部门在进行虚拟机迁移或应用虚拟机之前还应该制定战术性的和战略性的安全计划,这些安全计划是通过对现有的虚拟化安全进行综合分析实现的,同时还要计划应付虚拟化平台的未来的安全威胁,注意当前架构和安全管理中的小的变化,有助于防御管理程序和平台级的虚拟化攻击。
严格执行安全措施也是必需的,比如限制访问虚拟机的权限,应用开发人员应该只有最小的访问权限,如可访问共享区域而无法访问操作系统。如果赋予了开发人员访问虚拟机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限,因此管理者要慎重考虑员工需要哪种账户和访问权限。
另外,在隔离网段管理者也要采取严格措施。企业走上虚拟化道路,不该忽视与安全有关的网络流量风险。举例来说,有的CIO不允许任何虚拟服务器出现在DMZ(隔离区,也称非军事化区),要是DMZ里果真有几个虚拟机,就要放在与一部分旧系统(如关键的Oracle数据库服务器)分开的独立网段上。消除共享的隔离区资源的安全威胁的解决方案是,采用隔离网段把公共的虚拟机与专用的虚拟机分开,在不同的主机上运行和管理这些虚拟机。
结语
从目前的发展趋势来看,真正要实现服务器虚拟化的安全性必须拥有几个条件,例如系统有适用于物理及虚拟环境的同一管理平台,虚拟安全组件应该具有与物理组件相同的特性,并拥有诸如日志、报告、审计等强大的工具集合,且支持广泛的架构及虚拟平台。另外,支持安全策略在虚拟环境的应用迁移、应用的安全策略集群等技术也相当重要。因为服务器虚拟化将硬件和应用整合起来,使得网络安全域的划分由硬件厂商做主导的格局被打破,传统的简单的虚拟安全概念被新的基于七层应用的虚拟安全方案所代替。