首页 > 安全 > 系统安全 >

如何保障虚拟化和移动技术的安全性

2013-04-23

虚拟化和移动技术安全策略的规划,即使对有经验的IT人员也是一种挑战。随着二者快速成为主流,安全挑战和难题开始普遍存在。同时移动设备也为虚拟化安全带来全新挑战。  企业已经发现,在管理实践方面略加改进...

虚拟化和移动技术安全策略的规划,即使对有经验的IT人员也是一种挑战。随着二者快速成为主流,安全挑战和难题开始普遍存在。同时移动设备也为虚拟化安全带来全新挑战。
  企业已经发现,在管理实践方面略加改进就可以弥补安全差距。在虚拟设施之下部署全新的复杂基础架构和专属应用,通常可以在安全方面带来明显改善。
  根据Voodoo Security公司的创建者和首席顾问Dave Shackleford的说法,虚拟化环境有多种安全方式。管理员可以选择部署基本的补丁和配置管理实践,或更为复杂的虚拟化防火墙和入侵检测应用。
  找到适合你的虚拟化安全方法
  作为云计算安全联盟( Cloud Security Alliance)在亚特兰大地区的领导者,Shackleford指出虚拟环境中的安全问题需要从多个点考虑:虚机、虚拟网络、hypervisor和管理系统等,而每个点所采用的安全策略都要分开考虑。
  “虚机就是由代表了某个物理机的一组文件组成,”Shackleford说,而且很多企业开始认识到虚机存在相当大的安全风险,因为数据中心的服务器不再是位于机房的机架中,而是整个系统都运行于SAN(storage area network)存储系统之上。
  “企业逐步意识到对SAN安全方面做得不多,”他说。例如,虚机在做快照或备份的时候,有时在活动内存中存在一些单独的文件。假设当信用卡正在交易时可能会导致这一敏感信息驻留在内存文件中,这就为袭击者“可以访问该文件时把数字提取出来”提供了可能。
  对应的,一些企业开始考虑部署加密技术—专用于虚机或者SAN和存储资源的。
  已有大量的脚本和商业化技术用于审计和普通的配置管理,例如在VMware或Center for Internet Security强化指南中描述的内容。还有商业化的工具针对集中化的配置策略及管理员角色用户和组管理等,Shackleford提到。多数的主流安全和网络供应商已经创建或修改虚拟网络安全产品,使其可以分析进出虚拟环境的流量,包括虚拟架构内部虚机和应用之间产生的流量,他说道。
  协调IT人员构建更好的安全措施
  在管理方面也有很多变化。事实上,安全和管理人员也会从虚拟化中获益,因为它创建了一个可以使用虚拟模板的集中环境,而且附加了来自VMware或其它平台供应商的工具来协助简化补丁管理。
  “这是个很大的改善,因为对于大型的、分布式的环境而言,这通常是个大挑战,”Shackleford提到了VMware最近收购的Shavlik Technologies,该公司拥有一个复杂的补丁管理工具,这是一种趋势的开端。它可以实现从一个统一界面完成到所有虚拟组件和虚机的升级。
  另一方面,在虚拟环境中反恶意和反病毒软件也是管理员面临的挑战之一。尤其是对采用共享资源的虚机而言。“如果虚机都运行在同一个hypervisor上,而且共享hypervisor集群、一组CPU和内存资源,那么传统的基于代理的反恶意解决方案不能很好地工作,因为它们都属于资源密集型需求的,” Shackleford说。
  尽管如此,还是有些厂商走在了前沿。McAfee和 Trend Micro现在已经有了对多台虚机集中进行反恶意进程管理的方法。虽然这些方法还不成熟,但是“这些功能已经开始在成熟曲线上爬升”。
  最后,对于使用了虚拟化管理组件的公司而言,这些依然“可能是最不安全的——阿喀琉斯之踵”Shackleford说道。虚拟化组应该集中关注这些系统,因为一旦有人控制了它们,游戏就结束了。缺乏认证管理、补丁管理和配置实践将使这些组件易受攻击。或许正确地锁定系统(通常是借助密码)完善健全的认证管理控制,将极大地改善安全性。
锁定hypervisor
  考虑到安全挑战问题,hypervisor也需要重新理解了。“如果您查阅VMware强化指南,有很多可行的锁定hypervisor方式,可借鉴的途径也很多——通过补丁管理方案和配置平台,”Shackleford说。
  VMware还提供了“主机配置文件”,作为hypervisor的模板。管理员可以使用该黄金模板作为其它安装的标准,以简化管理。
  微软的vcourse.htm" target="_blank">Hyper-V只有一两个小的缺陷,根据Shackleford的描述,“您可以通过微软的SCVMM(System Center Virtual Machine Manager)平台对所有组件进行有效地管理,而且内置了很多自动化功能,”他说。
  微软和Citrix缺乏的是关于如何锁定hypervisor的内容,Shackleford说。现在很少有针对这些系统的强化指南。
  根据虚拟网络的变化调整安全性
  由于SDN(software-defined networking)领域的发展,虚拟网络领域已经在改变,这意味着在私有云中可以采取完全基于软件的网络控制系统。这样“消除了硬件限制和feeds-and-speeds的简单管理方式,”Shackleford说道。
  现在的防火墙和安全平台都对保障虚拟环境的安全需求问题进行了特别的关注。例如,VMware的vSphield App,跟VMware kernel融为一体并提供了扩展应用过滤。同时,VMware还有vShield Edge用于防火墙和分布式虚拟交换机用于端口镜像和流量监控,而且思科的企业级Nexus 1000v可以跟VMware集成,对Hyper-V的支持还在测试阶段。
  “虚拟交换机正在模仿传统企业级交换机具备的功能,”Shackleford说。
  移动性和虚拟化安全障碍
  除了传统的数据中心关注点之外,专家认为还有一些跟移动设备相关的虚拟化安全挑战。
  Xchanging公司解决方案高级总监Brian Rapp认为,以虚拟化为例,无论从桌面还是应用层都可以通过阻止最终用户把应用下载到移动设备的方式,帮助IT人员降低数据安全风险,
  虚拟化支持IT安全部门把内容和数据推送到最终用户的移动设备端,这样避免了用户下载应用方式潜在的安全风险。“这样,IT管理者在网络层控制内容,而IT系统也具备更为集中化的命令、控制和灵活性,”Rapp说到。
  提供企业级安全咨询、审计和测试服务的Stach & Liu公司的高级安全顾问Kevin Lawrence认为,虚拟化可以为移动设备安全性方面提供全新的帮助。
  传统模式“把每个终端都作为传统IT设备对待”,需要对每个手机、平板或笔记本电脑提供和传统台式工作站相同级别的控制。然而Lawrence认为,更为高效的解决方案是虚拟化所有的数据存取,“如果您的BYOD终端设备正在访问某台服务器或虚拟空间进行数据修改和存取操作,数据实际上不是存储在设备上的,”他说。各个公司根据拥有资源的不同也在采取对应的解决方案。
  安全软件公司Sophos的资深安全工程师David Schwartzberg认为,最终会出现dual persona双重角色办法。在该模式下,管理员可以设置工作端设备的安全策略。而dual persona的实现有很多方法,例如分离应用和系统资源,或通过容器分隔用户数据和企业数据,他解释道。
  “VMware的Horizon Mobile也是通过hypervisor实现移动设备角色虚拟化的案例,”Schwartzberg说道。这是虚拟化为安全服务的另一个更为高效的方法。
  在现在的虚拟化世界,安全问题面临不断变化的各种挑战。随着各种技术的变化,也不要忘记人为问题的解决,Shackleford说道。“它帮助把IT组、虚拟化组和存储组人员联系到一起来解决安全问题。”

相关文章
最新文章
热点推荐