保衛(wèi)虛擬化安全，企業(yè)該選哪把槍？

原創(chuàng) 2009-08-17 09:25:52

云計算

虛擬化

新聞 服務(wù)器虛擬化安全問題已經(jīng)成為了用戶實施服務(wù)器虛擬化的一大顧慮。面對這種情況，眾多虛擬化廠商紛紛在服務(wù)器虛擬化安全方面做出了調(diào)整，面對眾多的虛擬化安全技術(shù)，企業(yè)該選擇誰家的呢？

【51CTO.com快譯自8月17日外電頭條】服務(wù)器虛擬化橫掃了數(shù)據(jù)中心，但有個事實卻讓人心寒，那就是人們在設(shè)計、測試或部署服務(wù)器虛擬化的過程中很少考慮到安全性。這個問題事關(guān)重大，因為物理世界中的傳統(tǒng)安全策略和做法在虛擬世界中完全不同。

虛擬化安全需要防衛(wèi)的槍

物理世界的安全往往與“物理”屬性緊密聯(lián)系，比如MAC地址、服務(wù)器身份識別和IP地址等等，而這些在虛擬機中不能起到作用。另外企業(yè)的安全工作人員和虛擬機管理員一般不會在一起工作，無法共同設(shè)計并實施高效安全的虛擬化底層架構(gòu)，這讓事情變得更糟。

結(jié)果是hypervisor和虛擬層終將受到損害。hypervisor不像我們聽到的那么神奇，它也只是軟件，沒有任何軟件不會出現(xiàn)錯誤或漏洞。從51CTO.com以往的報道可以看出，安全減緩服務(wù)器虛擬化發(fā)展已經(jīng)成為了現(xiàn)實。

企業(yè)可能會給自己帶來漏洞。同一臺物理主機上的虛擬機可以相互通訊，而防火墻和入侵檢測系統(tǒng)無法檢查它們之間傳送的數(shù)據(jù)。如果攻擊者占領(lǐng)了一臺虛擬機，就可以用它作為基地來入侵同一臺服務(wù)器上的其他虛擬機。

無意之間，敏感的企業(yè)數(shù)據(jù)可能就會處在危險之中。比如虛擬機的轉(zhuǎn)移經(jīng)常會自動化完成，這可能會讓一些帶有企業(yè)數(shù)據(jù)庫的虛擬機轉(zhuǎn)移到不安全的物理服務(wù)器。還有為快速測試網(wǎng)絡(luò)服務(wù)器而建立的一些沒有補丁也未經(jīng)監(jiān)測的虛擬實例可能會與關(guān)鍵的虛擬機存在于同一虛擬局域網(wǎng)中，這就為滲透攻擊帶來了機會。51CTO.com曾經(jīng)提醒過您，如果您的單位使用了服務(wù)器虛擬化技術(shù)，我們作為IT管理者，經(jīng)常想的一個問題就是如何維護好虛擬化環(huán)境的健康與安全？

安全專家和虛擬化管理員要對付的問題有一長串。業(yè)界也認識到服務(wù)器虛擬化安全問題關(guān)系重大，而且可能壓制虛擬化的發(fā)展，因此也正在著力采取步驟，使虛擬機間和虛擬機內(nèi)部的數(shù)據(jù)交通變得更加可見，更加安全。

其中名聲最響的努力來自于VMware，它的ESX hypervisor統(tǒng)治了服務(wù)器虛擬化市場。VMware在2008年春天宣布推出VMsafe項目，提供一套在hypervisor層和監(jiān)測層運行的安全API，安全廠商可以通過API監(jiān)測虛擬世界的所有活動并執(zhí)行安全政策。

虛擬化安全，大家都有槍

許多創(chuàng)業(yè)公司和規(guī)模較小的廠商最早采用了VMsafe，比如Altor Networks、Catbird Networks和Reflex Security，它們使用API提供了各種虛擬化安全產(chǎn)品。

例如，上個月Altor發(fā)布了新版本的Altor VF軟件，使用VMsafe的API在hypervisor內(nèi)部運行防火墻模塊，這樣所有的流量在到達虛擬機之前都要通過Altor的防火墻。這使安全策略更加嚴格，為安全專家和管理員提供了一個監(jiān)測層。

今年3月份，Catbird發(fā)布了VMShield 2.0，為虛擬機創(chuàng)造安全區(qū)域通過比如拒絕虛擬機與面向網(wǎng)絡(luò)服務(wù)器的應(yīng)用相連接。軟件的最新版本添加了跟蹤功能，管理員可以在物理服務(wù)器之間遷移虛擬機時確保各項安全策略。

而傳統(tǒng)的大供應(yīng)商則在接受VMsafe時顯得動作比較慢。例如RSA今年展示了基于VMsafe的概念產(chǎn)品，集成了數(shù)據(jù)丟失防護、用戶訪問驗證和其他功能。不過至少要到明年RSA才會推出這個產(chǎn)品。

虛擬化安全，各廠商亮劍出槍

VMware并沒有把虛擬化安全的工作完全留給第三方廠商（實際上，就在不久之前，VMware還推出了新產(chǎn)品 提升數(shù)據(jù)中心安全性）。VMware的vShield Zones也提供了類似Catbird的功能。vShield允許企業(yè)在VMware環(huán)境中創(chuàng)建邏輯隔離，理想的消除了主機和虛擬機集群的物理隔離問題。增加的管理層功能有助于限制虛擬機的遷移，防止出現(xiàn)不符合遵從性的虛擬或物理設(shè)定。

此外，VMware最近還收購了專業(yè)的虛擬化安全企業(yè)Blue Lane Technologies。通過建立自己的一系列安全產(chǎn)品以及通過VMsafe幫助第三方提供安全底層架構(gòu)建設(shè)，VMware正在尋求實現(xiàn)全面的安全環(huán)境。

當(dāng)然，VMware的行動也招來了一些爭議，尤其是來自競爭對手。比如Citrix的首席技術(shù)官Simon Crosby，這位喜歡直話直說的開源倡導(dǎo)者認為私有化的VMsafe API并不是企業(yè)的好選擇，他認為更開放的社區(qū)模式會更好，這樣能夠更好的搜索代碼中的缺陷和漏洞。同樣是提供虛擬化安全API，Crosby認為Citrix建立的開源Xen社區(qū)做的要更好些（51CTO.com提醒關(guān)注Citrix虛擬化技術(shù)方面的朋友請參閱：Citrix虛擬化動態(tài)遷移技術(shù)XenMotion介紹）。

Citrix也在努力為其Xenserver hypervisor提供更多的安全功能（51CTO.com提醒您參閱：Citrix將發(fā)布Citrix Essentials免費版本）。隨著6月份發(fā)布XenServer，Citrix的hypervisor基本做到了與VMware ESX旗鼓相當(dāng)。同時，微軟和最近被Oracle收購的Virtual Iron也正在努力縮小與VMware和Citrix的差距。

對于企業(yè)來說，最好是在虛擬化的提議一開始就將各方人員集合在一起，包括安全、底層架構(gòu)與虛擬機的管理員?？赡軙霈F(xiàn)激烈的摩擦，但是企業(yè)虛擬化的部署必須要求安全與可擴展的底層架構(gòu)，要做到這點，相關(guān)的各方必須攜起手來共同工作。

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?/p>

原文：Strategic Security: Server Virtualization 作者：Joe Hernick

本文名稱：保衛(wèi)虛擬化安全，企業(yè)該選哪把槍？
轉(zhuǎn)載來源：http://www.5511xx.com/article/cdjeejg.html