令人擔(dān)憂的虛擬化安全：控制虛擬機(jī)是關(guān)鍵

2010-08-26 10:18:51

云計(jì)算

虛擬化 在今年3月由美國(guó)Computerworld主辦的Premier 100 IT領(lǐng)導(dǎo)人會(huì)議上，曾經(jīng)有過(guò)一次圓桌討論，有一位CIO當(dāng)場(chǎng)就表達(dá)了對(duì)于虛擬化基礎(chǔ)設(shè)施安全問(wèn)題的擔(dān)心，因?yàn)樗纠镆话胍陨系纳a(chǎn)服務(wù)器都已經(jīng)虛擬化了。很快，另外兩位IT高管也插嘴說(shuō)出了他們自己對(duì)于虛擬化安全問(wèn)題的擔(dān)憂。

成都創(chuàng)新互聯(lián)公司-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比武強(qiáng)網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式武強(qiáng)網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋武強(qiáng)地區(qū)。費(fèi)用合理售后完善，十載實(shí)體公司更值得信賴。

在今年3月由美國(guó)Computerworld主辦的Premier 100 IT領(lǐng)導(dǎo)人會(huì)議上，曾經(jīng)有過(guò)一次圓桌討論，有一位CIO當(dāng)場(chǎng)就表達(dá)了對(duì)于虛擬化基礎(chǔ)設(shè)施安全問(wèn)題的擔(dān)心，因?yàn)樗纠镆话胍陨系纳a(chǎn)服務(wù)器都已經(jīng)虛擬化了。很快，另外兩位IT高管也插嘴說(shuō)出了他們自己對(duì)于虛擬化安全問(wèn)題的擔(dān)憂。

盡管在場(chǎng)的很多IT高管不太愿意公開(kāi)承認(rèn)他們感覺(jué)自己在這方面很脆弱，但是德州普萊諾市的租賃業(yè)巨頭Rent-a-Center公司的技術(shù)服務(wù)與系統(tǒng)架構(gòu)高級(jí)經(jīng)理Jai Chanani卻表達(dá)出了他們的苦惱。他說(shuō)，“我最害怕的一件事情就是虛擬服務(wù)器被盜?！?/strong>他的團(tuán)隊(duì)每天要運(yùn)行大約200個(gè)VMware ESX和XenServer虛擬服務(wù)器，用作文件和打印服務(wù)器，有時(shí)候還要用作應(yīng)用服務(wù)器。但是出于安全上的考慮，他的團(tuán)隊(duì)沒(méi)有將公司的ERP系統(tǒng)、數(shù)據(jù)庫(kù)或e-mail系統(tǒng)虛擬化。

"我最不希望發(fā)生的事就是，有25臺(tái)虛擬服務(wù)器在某處運(yùn)行，而我卻不知道它們的存在?！?/strong>

“我最不希望發(fā)生的事情就是，有25臺(tái)虛擬服務(wù)器在某處運(yùn)行，而我卻不知道它們的存在?！?/p>

——主題公園營(yíng)運(yùn)商六旗公司CIO Michael Israel

德州格蘭德普雷里的主題公園營(yíng)運(yùn)商六旗公司的CIO Michael Israel還表達(dá)了另外一種擔(dān)憂。對(duì)他來(lái)說(shuō)，最讓人焦躁不安的局面就是某個(gè)心懷不軌的管理員可能會(huì)把虛擬服務(wù)器從一個(gè)安全的網(wǎng)絡(luò)段遷移到另一個(gè)不安全網(wǎng)絡(luò)段的物理主機(jī)上去，或者創(chuàng)建新的、未登記的、未經(jīng)許可的和未打過(guò)補(bǔ)丁的虛擬服務(wù)器?！拔易畲蟮膿?dān)心就是出了叛徒。我最不希望發(fā)生的事情就是，有25臺(tái)虛擬服務(wù)器在某處運(yùn)行，而我卻不知道它們的存在，”他說(shuō)。

雖然向虛擬服務(wù)器進(jìn)行遷移，由于服務(wù)器的整合及效率的提高，可以節(jié)省企業(yè)大量的金錢(qián)，但是因?yàn)樘摂M化正在吞沒(méi)越來(lái)越多的生產(chǎn)服務(wù)器，一些IT高管們正在擔(dān)心可能會(huì)出現(xiàn)的消化不良癥。一切都能在掌控之中嗎?某次災(zāi)難性的違規(guī)會(huì)不會(huì)讓關(guān)鍵應(yīng)用崩潰，甚至使整個(gè)數(shù)據(jù)中心停運(yùn)呢?“客戶們有一天會(huì)突然意識(shí)到，已經(jīng)有一半的關(guān)鍵業(yè)務(wù)應(yīng)用都在虛擬服務(wù)器上跑，他們會(huì)驚訝地問(wèn)：‘天哪!這樣做安全嗎?’”IBM安全解決方案副總裁兼安全咨詢師Kris Lovejoy說(shuō)。

問(wèn)題不在于虛擬的基礎(chǔ)設(shè)施能否保障自身的安全，而是很多企業(yè)始終沒(méi)有采取最佳實(shí)踐——如果他們有的話——去適應(yīng)新的虛擬化環(huán)境。

虛擬化引入了不少的技術(shù)——包括一個(gè)新的軟件層，即hypervisor——這些技術(shù)都必須是可管理的。但是還有一些新的技術(shù)：例如在虛擬服務(wù)器之間為網(wǎng)絡(luò)流量提供路由的虛擬交換，對(duì)于原來(lái)為物理網(wǎng)絡(luò)而設(shè)計(jì)的流量監(jiān)控工具來(lái)說(shuō)就并不總是可見(jiàn)的。

另外，虛擬化打破了IT部門(mén)中傳統(tǒng)的責(zé)任劃分，比如一名網(wǎng)管員只需按個(gè)鍵，而無(wú)須經(jīng)過(guò)采購(gòu)部門(mén)，或者網(wǎng)絡(luò)、存儲(chǔ)、業(yè)務(wù)連續(xù)性和安全部門(mén)的批準(zhǔn)，便可一次生成大量新的虛擬服務(wù)器。在很多組織中，IT安全團(tuán)隊(duì)是不會(huì)對(duì)虛擬基礎(chǔ)設(shè)施提供咨詢意見(jiàn)的，除非是在組織構(gòu)建了虛擬化基礎(chǔ)設(shè)施，并在生產(chǎn)服務(wù)器上運(yùn)行這些基礎(chǔ)設(shè)施之后才會(huì)提供此類(lèi)咨詢服務(wù)。具有虛擬化意識(shí)的安全技術(shù)和最佳實(shí)踐都還處在初期演進(jìn)階段。

虛擬化安全上市場(chǎng)發(fā)展的如此之快，以至于客戶們已無(wú)法讓企業(yè)的最佳實(shí)踐與其保持同步，Lovejoy說(shuō)。他們既缺乏關(guān)于這一話題的理論知識(shí)，也缺少現(xiàn)場(chǎng)處理問(wèn)題的實(shí)際技能。盡管有些技術(shù)亦可用來(lái)保障虛擬化基礎(chǔ)設(shè)施的安全，但是Lovejoy還是經(jīng)常會(huì)看到，某些安全上的失誤可以溯源到不正確的配置。

“和虛擬環(huán)境下的安全相關(guān)的主要問(wèn)題就是缺少可見(jiàn)性，缺乏控制，和對(duì)未知事物的恐懼，”IT咨詢公司Info Pro的安全研究執(zhí)行經(jīng)理Bill Trussell說(shuō)。

#p#

麻煩不斷的hypervisor

會(huì)不會(huì)有人劫持企業(yè)虛擬基礎(chǔ)設(shè)施中的某個(gè)hypervisor，然后利用它來(lái)破壞駐留在該hypervisor上的所有虛擬服務(wù)器呢?會(huì)不會(huì)有某個(gè)攻擊者控制一臺(tái)虛擬服務(wù)器，利用它作為平臺(tái)再去攻擊其他的虛擬服務(wù)器，比如駐留在同一硬件上的支付卡處理應(yīng)用，而網(wǎng)管員甚至根本察覺(jué)不到呢?

這些令人恐怖的場(chǎng)景將會(huì)頑固地存在，盡管目前還沒(méi)有出現(xiàn)已知的針對(duì)虛擬基礎(chǔ)設(shè)施的攻擊，RSA Security安全基礎(chǔ)設(shè)施高級(jí)經(jīng)理Eric Baize說(shuō)。

然而，很多IT安全專(zhuān)家仍然對(duì)此抱有疑慮。Info Pro在其2010年度的信息安全研究報(bào)告中對(duì)96位安全專(zhuān)家做了調(diào)查，結(jié)果有28%的受調(diào)查者稱，他們“非?！标P(guān)注或“相當(dāng)”關(guān)注虛擬化環(huán)境中的安全問(wèn)題。

在2006年的黑帽大會(huì)上，安全研究人員Joanna Rutkowska演示了著名的藍(lán)色藥丸hypervisor惡意rootkit，這之后，人們對(duì)于可能危及hypervisor的攻擊的擔(dān)憂就一直沒(méi)有斷過(guò)。

不過(guò)從那時(shí)以來(lái)，安全行業(yè)已經(jīng)向前發(fā)展了一大步，開(kāi)發(fā)了一些硬件技術(shù)來(lái)保障hypervisor的完整性，例如英特爾的VT-d(Virtualization Technology for Directed I/O)技術(shù)。“今天，絕大多數(shù)的英特爾Core i5和i7處理器都擁有這些技術(shù)”，而虛擬化軟件廠商也開(kāi)始支持這樣的功能，如今已成為IT安全研究公司Invisible Things的創(chuàng)始人兼CEO的Rutkowska說(shuō)。

但是，即便是VT-d技術(shù)也不能真正保障hypervisor的完整性，“不過(guò)英特爾的TXT擴(kuò)展卻可以提供可信任動(dòng)態(tài)測(cè)量根(dynamic root of trust measurement，DRTM)技術(shù)，這種技術(shù)將在新一代英特爾處理器中出現(xiàn)，”Gartner分析師Neil MacDonald說(shuō)。

Rutkowska本人對(duì)于是否有人會(huì)利用藍(lán)色藥丸類(lèi)rootkit攻擊虛擬機(jī)也表示懷疑?！皼](méi)有任何理由會(huì)讓壞分子們?nèi)ナ褂萌绱藦?fù)雜的rootkit工具，”她說(shuō)，尤其從上世紀(jì)90年代以來(lái)，人們對(duì)于攻擊傳統(tǒng)操作系統(tǒng)的rootkit技術(shù)有了更深入的了解。

可以這么說(shuō)，如果對(duì)虛擬基礎(chǔ)設(shè)施來(lái)說(shuō)，沒(méi)有遵循和采納最佳實(shí)踐的話，那么虛擬化就會(huì)出現(xiàn)危險(xiǎn)。Hypervisor必須像任何其他操作系統(tǒng)一樣，定期修補(bǔ)安全漏洞，Rent-a-Center租賃公司的高級(jí)信息安全經(jīng)理KC Condit說(shuō)?！癡Mware今年以來(lái)已發(fā)布了9個(gè)重要安全公告，而XenServer也已發(fā)布了6個(gè)安全修復(fù)辦法?！?/p>

“我們看到過(guò)大量配置不當(dāng)?shù)膆ypervisors，”RSA Security的高級(jí)安全咨詢師Andrew Mulé說(shuō)。他說(shuō)，在他拜訪客戶的辦公室時(shí)，經(jīng)常會(huì)看到對(duì)虛擬機(jī)的補(bǔ)丁管理很不到位，而且虛擬機(jī)管理程序所使用的都是一些很容易猜到或者缺省的用戶名和密碼，這會(huì)讓他人很容易進(jìn)入并控制整個(gè)hypervisor。除此之外，他說(shuō)，“我們還能偶然看到虛擬機(jī)管理工具放在了防火墻的錯(cuò)誤一側(cè)?！?/p>

#p#

看不見(jiàn)的網(wǎng)絡(luò)

虛擬機(jī)之間的網(wǎng)絡(luò)流量是安全專(zhuān)家們所擔(dān)心的另一個(gè)問(wèn)題，因?yàn)槿肭謾z測(cè)和入侵防御系統(tǒng)、防火墻和其他監(jiān)控工具都無(wú)法告訴你這些虛擬機(jī)是不是在同一臺(tái)物理服務(wù)器上運(yùn)行的?！拔野褦?shù)據(jù)包嗅探工具放在虛擬服務(wù)器上，但是在物理網(wǎng)絡(luò)的界面上，卻看不出有任何流量在進(jìn)進(jìn)出出。那么這些流量是如何發(fā)生的呢?它們走的是安全的通道嗎?”鳳凰城市政府的高級(jí)安全工程師Vauda Jordan說(shuō)。雖然該市對(duì)虛擬基礎(chǔ)設(shè)施投入了相當(dāng)多的資金，但Jordan既沒(méi)有談?wù)撎摂M基礎(chǔ)設(shè)施的技術(shù)或?qū)嵤┓秶?，而是談到了不少有關(guān)安全方面的擔(dān)憂。

“我更信任防火墻而不是hypervisor?！?/p>

——鳳凰城市政府高級(jí)安全工程師Vauda Jordan

利用ESX服務(wù)器和其他主要的虛擬化平臺(tái)，虛擬機(jī)之間所通過(guò)的數(shù)據(jù)是不加密的，各虛擬機(jī)在使用VMware的vMotion工具在不同物理主機(jī)間遷移時(shí)是處于內(nèi)存狀態(tài)的(VM盤(pán)文件本身仍然在同一個(gè)共享存儲(chǔ)設(shè)備上)。VMware負(fù)責(zé)產(chǎn)品營(yíng)銷(xiāo)的高級(jí)經(jīng)理Venu Aravamudan說(shuō)，“在我們的路線圖/規(guī)劃執(zhí)行中，加密是要主動(dòng)加以考慮的，”但他拒絕評(píng)論VMware的產(chǎn)品是否要增加加密功能，以及何時(shí)增加等問(wèn)題。

Aravamudan稱，如果執(zhí)行了最佳實(shí)踐，那么加密“就不是什么大問(wèn)題”。最佳實(shí)踐會(huì)要求vMotion流量與生產(chǎn)流量完全隔離。但他也承認(rèn)，“中間人攻擊從理論上講是有可能的，”尤其是因?yàn)樘摂M服務(wù)器實(shí)例可能會(huì)在各個(gè)數(shù)據(jù)中心間遷移，而不只是在一個(gè)物理場(chǎng)所內(nèi)遷移。

像VMware的vShield和其他第三方工具等產(chǎn)品可以創(chuàng)建虛擬防火墻將VMware、XenServer、Hyper-V和其他虛擬機(jī)彼此隔離在不同的安全區(qū)域中，但是并非所有的組織都已實(shí)施了這種隔離。例如，創(chuàng)建不同的安全區(qū)域就不是Rent-a-Center關(guān)注的大事。但是隨著虛擬基礎(chǔ)設(shè)施的不斷擴(kuò)展，這種隔離就會(huì)成為必須，Condit說(shuō)。

Rent-a-center依然采用物理隔離虛擬機(jī)的方法，也就是將屬于每一功能組合的虛擬機(jī)駐留在不同的物理服務(wù)器上。這種方法的缺點(diǎn)是當(dāng)虛擬設(shè)置增長(zhǎng)得很大的，難以維護(hù)，而且會(huì)限制虛擬化所提供的整合優(yōu)勢(shì)。Rent-a-Center的Chanani說(shuō)，在某些場(chǎng)合下，一個(gè)刀片服務(wù)器機(jī)箱內(nèi)只插了一塊刀片?！斑@樣做，成本很快就會(huì)變得極其高昂。這也就是我們?yōu)楹握谡務(wù)撊绾沃匦赂脑?，設(shè)置虛擬防火墻的原由了，”他說(shuō)。

有些現(xiàn)有的防火墻工具可以看見(jiàn)虛擬服務(wù)器流量，但在其他場(chǎng)合下，IT人員需要另外增加一組虛擬化工具，但這又會(huì)增加管理的復(fù)雜性。Gartner的MacDonald說(shuō)，最好的辦法是有一套能夠跨越物理和虛擬環(huán)境的工具。然而，除非傳統(tǒng)的安全工具廠商追趕上來(lái)，否則企業(yè)的IT部門(mén)就只能用一些不知名廠商如Altor網(wǎng)絡(luò)、Catbird網(wǎng)絡(luò)和HyTrust等公司的工具，這些工具為了適應(yīng)虛擬機(jī)的需要而做了剪裁。

IBM的Lovejoy認(rèn)為，近期來(lái)看，混合的工具環(huán)境不可避免?！氨仨氁屵@些廠商有和我們的戰(zhàn)略相一致的戰(zhàn)略路線圖，”他說(shuō)?！胺駝t你就只能擁有短命的單獨(dú)的工具了。”

#p#

虛擬網(wǎng)絡(luò)架構(gòu)

更重要的是，核心網(wǎng)絡(luò)架構(gòu)需要加以變動(dòng)方能適應(yīng)虛擬化，RSA Security的Mulé說(shuō)?！澳芘c物理服務(wù)器正確工作的網(wǎng)絡(luò)卻不一定能和虛擬服務(wù)器配合得很好。如果適當(dāng)?shù)穆酚?、子網(wǎng)和VLAN都已配置好，那么安全就應(yīng)當(dāng)加以改進(jìn)，”他說(shuō)。大多數(shù)企業(yè)之所以會(huì)在虛擬化設(shè)置上出現(xiàn)連續(xù)的失敗，可能就得歸因于網(wǎng)絡(luò)設(shè)計(jì)上的失誤。

六旗公司的高級(jí)系統(tǒng)工程師Matthew Nowell利用VLAN來(lái)隔離虛擬服務(wù)器?！叭Q于我們?nèi)绾卧O(shè)置路由規(guī)則，這些虛擬服務(wù)器或許能，或許不能彼此交談，”他說(shuō)。但是Gartner的MaCDonald提醒道，“VLAN和路由接入控制對(duì)于安全隔離來(lái)說(shuō)都不夠充分?！盙artner出版的指南要求必須部署某類(lèi)虛擬化防火墻。

Jordan堅(jiān)持鳳凰城的系統(tǒng)管理員必須將每個(gè)虛擬服務(wù)器隔離在各自的安全區(qū)域內(nèi)?！拔冶仨毑粩鄬?duì)勸說(shuō)那些喋喋不休地爭(zhēng)辯說(shuō)hypervisor就能實(shí)現(xiàn)安全隔離的服務(wù)器管理員。我更信任防火墻而不是hypervisor，”她說(shuō)。

“最困難的人物之一就是如何將日常業(yè)務(wù)網(wǎng)絡(luò)與支付卡基礎(chǔ)設(shè)施進(jìn)行隔離，”市民們可使用后者繳納水費(fèi)或其他服務(wù)項(xiàng)目的費(fèi)用。Jordan說(shuō)，為了滿足PCI(支付卡行業(yè))安全標(biāo)準(zhǔn)的要求，她需要對(duì)處理、存儲(chǔ)或傳輸支付卡數(shù)據(jù)的虛擬服務(wù)器上的文件完整性進(jìn)行監(jiān)測(cè)。

對(duì)六旗公司來(lái)說(shuō)，它利用VLAN將支付卡處理功能放在虛擬服務(wù)器上沒(méi)有出現(xiàn)任何問(wèn)題?！拔覀兊腜CI審計(jì)從未出現(xiàn)過(guò)反饋問(wèn)題，”Nowell說(shuō)。然而另一方面，Rent-a-Center卻從不用虛擬機(jī)來(lái)處理信用卡流程。

明尼蘇達(dá)州的Schwann食品公司則采取了一種不同的方法來(lái)進(jìn)行支付卡處理：它只使用裸機(jī)虛擬化系統(tǒng)(即虛擬機(jī)直接安裝在硬件上)，而根本不用任何hypervisor。

#p#

強(qiáng)勢(shì)管理員的危險(xiǎn)

在一個(gè)沒(méi)有監(jiān)控的虛擬環(huán)境中，管理員就代表著一切的權(quán)力——咨詢師和IT高管們一致認(rèn)為，這種情形絕不是什么好事。“這等于給了管理員們進(jìn)入王國(guó)的鑰匙，而在大部分時(shí)間里，他們對(duì)安全風(fēng)險(xiǎn)卻并不了解，”Jordan說(shuō)。

舉例來(lái)說(shuō)，管理員可能創(chuàng)建了一個(gè)虛擬FTP服務(wù)器，而在進(jìn)行維護(hù)時(shí)，又會(huì)粗心大意地使用某個(gè)虛擬機(jī)遷移工具，比如XenMotion、Hyper-V實(shí)時(shí)遷移功能，或者VMware的vMotion等，把虛擬服務(wù)器遷移到了不同的硬件上。但是他們可能并沒(méi)有意識(shí)到，新的托管主機(jī)卻有可能處在不可信任的網(wǎng)絡(luò)區(qū)段上。或者，他們沒(méi)有遵守最佳實(shí)踐——比如說(shuō)他們可能會(huì)把VMware虛擬網(wǎng)絡(luò)計(jì)算(VNC)客戶端的管理員證書(shū)的文本文件不小心存放在了虛擬機(jī)鏡像中，然后又將這些虛擬機(jī)分發(fā)了出去。

在創(chuàng)建新的虛擬服務(wù)器時(shí)使用缺省口令是很常見(jiàn)的，IBM安全戰(zhàn)略群組的架構(gòu)師Harold Moss說(shuō)，而負(fù)責(zé)管理新虛擬機(jī)的人卻不會(huì)經(jīng)常變更口令?！袄肰NC，你可以打開(kāi)所有的端口，”他說(shuō)。利用這些未加變更的口令，竊賊們就有可能登錄虛擬機(jī)，猜測(cè)出口令，從而“完全控制虛擬機(jī)，”他解釋說(shuō)。

Forrester分析師John Kindervag說(shuō)，他就曾聽(tīng)到過(guò)一些客戶的故事，說(shuō)他們的VMware vCenter管理控制臺(tái)就曾被控制。攻擊者們利用該控制臺(tái)拷貝了一臺(tái)虛擬機(jī)，然后盜走了上面的數(shù)據(jù)?！耙坏┠惚I竊了一臺(tái)虛擬機(jī)，你便可以堂而皇之地進(jìn)入數(shù)據(jù)中心，盜取其他硬件上的數(shù)據(jù)。這可是毀滅性的，”他說(shuō)。

#p#

其他常見(jiàn)的錯(cuò)誤

在IBM安全解決方案群組，Lovejoy在客戶的網(wǎng)站上看到過(guò)由于構(gòu)建不當(dāng)?shù)奶摂M機(jī)鏡像而出現(xiàn)的惡意軟件和跨站腳本攻擊等問(wèn)題?！俺Ｒ?jiàn)的情形是，虛擬機(jī)鏡像常常包含惡意軟件，或者有一些很容易被利用的漏洞?！?/p>

為了幫助防范被攻擊的可能，安全軟件廠商們正在創(chuàng)建這樣一種模式，利用這種模式，虛擬化軟件廠商可以讓一些代碼在hypervisor層上運(yùn)行。例如趨勢(shì)科技的Deep Security軟件包括了防火墻、日志檢測(cè)、文件完整性監(jiān)測(cè)和入侵檢測(cè)及防御功能。它能與Sun的Solaris Containers、微軟的windows Hyper-V、VMware的ESX Server和Citrix的XenServer虛擬機(jī)配合工作。但是通過(guò)vSphere，網(wǎng)絡(luò)文件過(guò)濾功能可以在hypervisor上運(yùn)行，趨勢(shì)科技的1高級(jí)產(chǎn)品開(kāi)發(fā)經(jīng)理Bill McGee說(shuō)。

然而，有個(gè)問(wèn)題是，給hypervisor層加壓是不是一個(gè)好想法呢?

未能實(shí)現(xiàn)最佳實(shí)踐，或者未能在虛擬基礎(chǔ)設(shè)施中建立明確的責(zé)任分工，這就是問(wèn)題頻發(fā)的根源，RSA Security的Mulé稱?！叭藗兘裉烊匀徊幌矚g實(shí)行責(zé)任分工。他們總想把權(quán)杖交給少數(shù)人去管理?！彼ㄗh開(kāi)發(fā)一種強(qiáng)大的變更管理流程，包括變更管理工票的發(fā)放。

Condit對(duì)此也表示贊同?！霸谔摂M世界里，不存在固有的責(zé)任分工，所以你必須自己來(lái)創(chuàng)建這種分工，”他說(shuō)。變更管理、配置管理和資產(chǎn)控制，對(duì)于保障虛擬基礎(chǔ)設(shè)施安全來(lái)說(shuō)是至關(guān)重要的。

合規(guī)性是又一個(gè)令人但有的問(wèn)題。作為歐盟開(kāi)發(fā)銀行的系統(tǒng)工程設(shè)計(jì)經(jīng)理，Jean-Louis Nguyen需要監(jiān)控該銀行140臺(tái)虛擬機(jī)的管理員們的行為，以確保他們能夠遵守各種監(jiān)管和管理規(guī)則的要求。該銀行曾嘗試過(guò)VMware的日志功能，后來(lái)發(fā)現(xiàn)需要更好的方法才能整合各種日志信息。“要想獲得這些日志本身就是不簡(jiǎn)單的事情，”他說(shuō)。最后他決定使用HyTrust的專(zhuān)用工具來(lái)提供所有管理員行為的集中日志。

該銀行還是用HyTrust為首席安全官(CSO)設(shè)置了一個(gè)完全隔離的虛擬環(huán)境，只有他才能全面控制所有物理的和虛擬的基礎(chǔ)設(shè)施，并利用底層安全軟件來(lái)加固基礎(chǔ)設(shè)施。CSO可以監(jiān)控所有生產(chǎn)現(xiàn)場(chǎng)的虛擬服務(wù)器及其配置，但無(wú)權(quán)做任何變更。

“關(guān)鍵是要確保你的管理體系不會(huì)出現(xiàn)管理員濫用權(quán)力的情況。我們需要確定的是管理系統(tǒng)是可靠的，不會(huì)有人偷窺數(shù)據(jù)，”Nguyen說(shuō)。

其他工具可分層配置以獲得更多控制。例如，新興企業(yè)Catbird網(wǎng)絡(luò)提供一種策略管理工具套件，既可在出現(xiàn)違反策略情況時(shí)向管理員示警，也可在有虛擬機(jī)破壞規(guī)則時(shí)對(duì)其進(jìn)行隔離。“你需要知道虛擬機(jī)去了哪里，到了某地后正在做什么。如果你不喜歡它所做的事，那你就必須有能力終止它的運(yùn)行，”Catbird的副總裁Tamar Newberger說(shuō)。

而在Rent-a-Center，是不需要額外工具的，因?yàn)閺?qiáng)大的檢查與平衡策略足以滿足管理需求。該公司的安全經(jīng)理“會(huì)及時(shí)發(fā)布一個(gè)流程，說(shuō)我們不能把某臺(tái)虛擬服務(wù)器放入生產(chǎn)現(xiàn)場(chǎng)，除非他的團(tuán)隊(duì)已經(jīng)將此服務(wù)器注銷(xiāo)了，”Chanani說(shuō)。

“你需要的是某個(gè)可控的技術(shù)及時(shí)到位嗎?這個(gè)問(wèn)題的答案可以是否定的。你需要的是良好的治理和監(jiān)控嗎?這個(gè)問(wèn)題的答案是：絕對(duì)的，”RSA Security的Mulé說(shuō)。

#p#

保護(hù)數(shù)據(jù)

由于虛擬機(jī)鏡像里主要是數(shù)據(jù)——程序代碼存儲(chǔ)在某地的硬盤(pán)上——這些文件必須受到保護(hù)?！澳憧隙ú幌Ｍ吹侥橙藢⒄麄€(gè)服務(wù)器放在一塊USB硬盤(pán)上帶出去Jordanm說(shuō)?！彼f(shuō)，鳳凰城市政府利用物理安全、網(wǎng)絡(luò)存儲(chǔ)訪問(wèn)控制和文件完整性監(jiān)控等手段的相互結(jié)合來(lái)保護(hù)虛擬機(jī)鏡像。

六旗公司則是將這些鏡像放在受保護(hù)的網(wǎng)絡(luò)存儲(chǔ)區(qū)域中?！斑@些NFS安裝盤(pán)是嚴(yán)格禁止任何人共享的。你也不可能去拷貝文件，因?yàn)樵谖覀兊沫h(huán)境中是不可能讓你安裝U盤(pán)的，”Nowell說(shuō)。

RSA Security的Baize說(shuō)，IT高管還需重新考慮其數(shù)據(jù)泄漏防護(hù)措施。除了制定策略，決定虛擬機(jī)在何種狀態(tài)下可以訪問(wèn)何種數(shù)據(jù)之外，這些策略還必須是以數(shù)據(jù)為中心的?！澳憧梢灾贫ú呗哉f(shuō)，這個(gè)敏感數(shù)據(jù)不能跑到這臺(tái)虛擬機(jī)上去。但你不能因此而對(duì)虛擬機(jī)上的數(shù)據(jù)從何而來(lái)不再關(guān)心——這純粹是就事論事的策略。虛擬化正好是讓我們重新思考如何做安全的一次機(jī)會(huì)?！?/p>

#p#

更好地理解安全控制

要保障虛擬基礎(chǔ)設(shè)施的安全并非只是購(gòu)買(mǎi)更多的工具，Baize說(shuō)?！敖裉煲呀?jīng)有了很多可用于控制虛擬基礎(chǔ)設(shè)施的辦法。我們所缺少的是了解怎么控制，以及何時(shí)進(jìn)行控制。”

創(chuàng)建安全的虛擬基礎(chǔ)設(shè)施的最佳辦法就是從項(xiàng)目之初便引入IT安全或者讓安全咨詢師參與進(jìn)來(lái)。Gartner估計(jì)，多達(dá)40%的IT組織并沒(méi)有在虛擬基礎(chǔ)設(shè)施部署之時(shí)引入IT安全的概念，都是在系統(tǒng)已經(jīng)建好并上線之后才開(kāi)始考慮安全問(wèn)題的。這種有問(wèn)題的做法在更多的關(guān)鍵任務(wù)應(yīng)用開(kāi)始向虛擬機(jī)遷移時(shí)表現(xiàn)得尤為明顯。“一旦你要開(kāi)始對(duì)SharePoint、Exchange或ERP進(jìn)行虛擬化時(shí)，你實(shí)際上就已經(jīng)進(jìn)入敏感數(shù)據(jù)了。這就會(huì)出現(xiàn)安全問(wèn)題，”Gartner的MacDonald說(shuō)。

到了這個(gè)時(shí)候，一些組織才開(kāi)始想到要給系統(tǒng)加上安全門(mén)閂，而這本來(lái)應(yīng)該是在設(shè)計(jì)之初就應(yīng)該考慮到的事情。事后修改設(shè)計(jì)肯定是要付出更高成本的。“CIO們應(yīng)該確保在設(shè)計(jì)此類(lèi)體系架構(gòu)時(shí)有高管全程參與，”MacDonald說(shuō)。

Rent-a-Center的Condit認(rèn)為，一切皆可歸結(jié)為策略?！叭绻麤](méi)有及時(shí)制定強(qiáng)有力的安全策略，那么虛擬基礎(chǔ)設(shè)施很快就會(huì)暴露出各種弱點(diǎn)，這是肯定會(huì)發(fā)生的事情，”他說(shuō)，因?yàn)閯?chuàng)建虛擬服務(wù)器的過(guò)程非?？?，而且將它們?cè)诟鱾€(gè)物理服務(wù)器之間進(jìn)行遷移又非常容易。

CIO們對(duì)虛擬化安全表示擔(dān)憂是正常的，Condit說(shuō)?！澳撤N健康程度的疑神疑鬼怎么說(shuō)也是件好事。”