跨平台虚拟化工具保护虚拟化安全

日期: 2008-09-04 作者:祁金华 来源:TechTarget中国 英文

  服务器虚拟化技术能够提升服务器的运行效率,提高数据中心管理的灵活性,也能够通过整合服务器,减少对空间和电力的需求,从而能够减少数据中心总拥有成本,引起了业界的广泛青睐,被认为是未来最有前途的服务器技术,但是它也会增加相当大的安全风险。


  物理与虚拟环境不同使安全复杂化


  据调查公司Gartner说,到2009年底时,60%的虚拟机(VM)将不如相应的物理机器安全。其相应的安全挑战包括如下几点:


  IP地址依赖性:在虚拟化的环境中,IP地址常常在VM创建、停止运行或从一台物理主机迁移到另一台时发生变化,从而在传统保护机制中造成问题。


  虚拟机泛滥:VM很容易从已有的映像中创建,因而常常引入大量的、没有得到正确维护的VM或基于存在已知安全漏洞的映像的VM。对存在安全漏洞的VM的成功攻击可能带来攻击其它虚拟机的跳板。


  不能监测主机间的传输流:服务器虚拟化引入使一台主机内的VM相互通信的“软件交换”的概念。监测和保护这类通信需要专门的工具,而这类工具的选择余地很有限。


  以孤岛方式实施安全策略:不幸的是,许多安全厂商采用安全孤岛的方式实施安全性,建议每个客户使用具有不同的管理要求的不同的解决方案。


  Gartner公司分析师Neil MacDonald最近接受《Network World》采访时说:“虚拟世界中的多数安全问题将是由不当的管理或一般的老错误造成的。我们在物理世界中使用与虚拟世界中不同的工具的事实让这个问题变得更复杂。”


  鉴于实现服务器虚拟化的好处所必须应对的挑战,需要一种新的实现安全性的方式,一种可以保护虚拟和物理环境安全的跨平台的解决方案。跨平台虚拟安全工具可以帮助机构跨数据中心执行动态安全策略,消除虚拟化的好处与保持强健的安全性之间的折衷。


  跨平台虚拟安全工具强化虚拟安全


  跨平台虚拟安全工具管理控制台应当能够部署在网络任何位置,应当提供最大限度增加灵活性的委托授权。它们通常将详细的日志数据写入syslog和Windows事件日志,而这方便了将工具与已有管理控制集成的工作。


  由于消除了安全策略的IP地址依赖性,跨平台虚拟安全性确保安全策略不管机器的位置或平台都可以被执行。安全管理员可以消除与规则变更相关的运营费用。事实上,安全策略在不同情况下被执行并且是一致的,这些情况包括:



  • 当物理服务器和终端转移到网络的不同位置时。

  • 物理服务器和终端转换为VM

  • VM由一台物理主机迁移到另一台,无论这些VM是现用的或未用的。

  跨平台虚拟安全性将物理机器和VM置于逻辑安全区中,并通过确保不良VM不成为安全区的成员,不能与不是其成员的安全区通信来防止VM泛滥。事实上,它们甚至看不到安全区中的成员。通过严格控制对每个安全区的访问,受损VM的攻击面大大减少。


  跨平台方式通常基于一种分布式的、对等的架构,这种架构提供扩展到几十万虚拟机实例的可伸缩性。策略管理大规模完成,只需点击几下鼠标就可更新一些或所有终端策略。


  该方式的另一些好处包括如下几点:



  • 消除孤岛方式实现数据中心安全造成的管理复杂性,通过单一控制台保护主机。

  • 无需重新配置网络就可满足法规遵从性。

  • 消除与防火墙和虚拟LAN相关的运营费用。

  • 利用分布式架构消灭瓶颈和单故障点。

  评估虚拟安全方案的要点


  在评估跨平台虚拟安全解决方案时,需要考虑以下要求:



  • 跨平台支持(虚拟的和物理的):理想的解决方案支持虚拟化环境中的x86操作系统以及其它常见和不太常见的架构,如Solaris、AIX、HP-UX、RedHat、Windows和基于IP的非服务器设备。

  • 不依赖于IP地址:理想的解决方案不管计算机是什么,IP地址都能执行安全策略,从而确保发生迁移或物理转移时的策略一致性。

  • 隔离同一台物理主机上的VM:为保护VM免受VM泛滥造成的安全漏洞,理想的解决方案应当能够将同一台物理主机上的VM相互隔离。

  • 易于伸缩:寻找运行在分布式架构上的解决方案,以支持不形成瓶颈的扩展。

  • 有选择的加密:寻找提供根据策略有选择的加密的解决方案,而不是采用要么全加密要么不加密的方式的解决方案,实现性能/保护的最大化。

  • 集中管理:为了发挥管理效率,寻找提供单安全管理点的解决方案。

  • 基于主机的实现:寻找在主机上执行策略的解决方案,以取得安全策略上的最大的细粒度和移动性。

  • 对基础设施和应用透明:理想的解决方案对于网络和应用透明地运行,以减少部署时间和兼容性问题。

  • 强健的活动与审计日志:理想的解决方案应当记录详细的活动数据,创建服务器和终端以及管理控制台的审计跟踪记录。

  • 基于证书的认证:寻找使用X.509 v3证书的解决方案来确保操作者的证书不被伪造。

  服务器虚拟化的运行和经济好处无可否认。通过部署跨物理和虚拟数据中心并在VM迁移时仍保持一致的逻辑安全模型,跨平台虚拟安全性消除了服务器虚拟化好处与强安全性之间的折衷。


  总而言之,跨平台虚拟安全性使机构能够在简化执行安全策略的同时,全面支持向服务器虚拟化的迁移。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐