隨著將關(guān)鍵業(yè)務(wù)應(yīng)用和敏感的數(shù)據(jù)不斷遷移至虛擬基礎(chǔ)設(shè)施,越來越多的組織正在評(píng)估并部署虛擬化安全設(shè)備與工具。
在虛擬環(huán)境中共享硬件資源擴(kuò)大了對安全性的需求,因?yàn)楸姸嗵摂M機(jī)寄居在一臺(tái)主機(jī)上。和傳統(tǒng)的物理服務(wù)器相比,虛擬化環(huán)境引入了新的攻擊面。安全工具與應(yīng)用在虛擬化環(huán)境中通常是無效的,因此為了確保虛擬環(huán)境的安全,必須使用專門為虛擬化環(huán)境而開發(fā)的工具。
如果不同時(shí)對hypervisor以及虛擬環(huán)境的管理組件進(jìn)行保護(hù),那么你為保護(hù)虛擬機(jī)客戶操作系統(tǒng)所做出的所有努力都是徒勞的。虛擬機(jī)被封裝為單個(gè)虛擬磁盤文件,當(dāng)虛擬機(jī)的便攜性變得非常高時(shí)將會(huì)帶來風(fēng)險(xiǎn)。從數(shù)據(jù)中心偷走一臺(tái)服務(wù)器是很困難的,但是既然能夠輕松拷貝虛擬機(jī),那么虛擬機(jī)可以輕松地從數(shù)據(jù)中心的大門溜出去。
虛擬化是一個(gè)相對較新的技術(shù),眾多的安全規(guī)則,比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)都未將虛擬化技術(shù)考慮在內(nèi)。PCI DSS的最新修訂版現(xiàn)在開始關(guān)注虛擬化層。在今天公司必須能夠證明它們對虛擬化環(huán)境的安全性具有充分的控制。幸運(yùn)的是,眾多的第三方工具現(xiàn)在能夠確保虛擬化環(huán)境符合標(biāo)準(zhǔn)。
虛擬化環(huán)境將物理網(wǎng)絡(luò)擴(kuò)展到主機(jī)中,主機(jī)的虛擬交換機(jī)僅存在于主機(jī)內(nèi)存中。虛擬交換機(jī)是一個(gè)二層交換機(jī),它具有物理交換機(jī)的特性,連接了主機(jī)的物理網(wǎng)卡與虛擬機(jī)的虛擬網(wǎng)卡。因此,一些網(wǎng)絡(luò)流量從未脫離主機(jī),處于主機(jī)外部位于物理網(wǎng)絡(luò)中的安全工具是不能夠檢測到這些流量的。專門為虛擬換環(huán)境而設(shè)計(jì)的安全工具位于虛擬網(wǎng)絡(luò)中并與hypervisor進(jìn)行了集成,因此這些工具能夠查看虛擬機(jī)上的所有流量,即使這些流量從未脫離主機(jī)。所以有必要使用虛擬化安全工具彌補(bǔ)傳統(tǒng)安全工具的這一缺陷。
眾多的工具都在關(guān)注虛擬網(wǎng)絡(luò)。產(chǎn)品比如Catbird vSecurity通常具有與物理環(huán)境相對應(yīng)的產(chǎn)品相同的特性,為虛擬機(jī)和虛擬交換機(jī)提供了防火墻、入侵檢測以及入侵防護(hù)設(shè)備。
虛擬化安全設(shè)備
虛擬化安全工具通常部署為虛擬化設(shè)備,小型的代理設(shè)備通常運(yùn)行在每臺(tái)主機(jī)之上,一臺(tái)管理設(shè)備可以管理所有的代理設(shè)備。保護(hù)虛擬機(jī)的通用方法是在主機(jī)上創(chuàng)建受信域。這通常會(huì)涉及到創(chuàng)建沒有與物理網(wǎng)卡相關(guān)聯(lián)的虛擬交換機(jī)并將虛擬機(jī)與該交換機(jī)進(jìn)行連接。
隨后防火墻設(shè)備虛擬機(jī)與孤立的虛擬交換機(jī)相關(guān)聯(lián),然后再連接到其他具有物理網(wǎng)卡的交換機(jī),這就創(chuàng)建了一座橋,訪問虛擬機(jī)的所有流量都會(huì)經(jīng)過這一虛擬安全設(shè)備。這是一種監(jiān)控網(wǎng)絡(luò)流量并保護(hù)虛擬機(jī)的有效方式,但是其效率低下而且還存在單點(diǎn)故障。為保護(hù)位于不同虛擬交換機(jī)之上的眾多虛擬機(jī),需要對整個(gè)虛擬網(wǎng)絡(luò)架構(gòu)進(jìn)行改變,有時(shí)還往往需要多個(gè)虛擬設(shè)備。
VMware公司意識(shí)到了使用橋接保護(hù)虛擬機(jī)效率的低下。該公司創(chuàng)建了一個(gè)允許與虛擬機(jī)進(jìn)行直接交互的VMsafe API,使用VMsafe API,不是嘗試在虛擬交換機(jī)上保護(hù)虛擬機(jī),而是在每個(gè)虛擬機(jī)的網(wǎng)卡上對虛擬機(jī)進(jìn)行保護(hù),而且不需要對這個(gè)網(wǎng)絡(luò)進(jìn)行配置。VMsafe不僅使監(jiān)控與保護(hù)虛擬機(jī)變得更加容易,而且效率也更高。
VMsafe實(shí)現(xiàn)方式有兩種:快速路徑和常規(guī)路徑。常規(guī)路徑基于傳統(tǒng)的橋接配置,盡管它不像快速路徑那樣有效,但是常規(guī)路徑允許IT使用提供全方位服務(wù)的虛擬設(shè)備對流量進(jìn)行監(jiān)控。
另一方面,快速路徑直接作為hypervisor內(nèi)核的一個(gè)可加載模塊實(shí)現(xiàn),因此在監(jiān)控流量時(shí)效率更高。正因?yàn)槿绱耍统R?guī)路徑相比,快速路徑提供了更大的可擴(kuò)展性,但是可加載的模塊的代碼量必須是最小的而且僅限于實(shí)現(xiàn)其功能。眾多供應(yīng)商使用了快速路徑與常規(guī)路徑相混合的方式實(shí)現(xiàn)其產(chǎn)品功能。
京公網(wǎng)安備 11010502049343號(hào)