如何打造最安全的服务器虚拟化环境

来源: ENET   
2010/4/13 16:54:51
服务器虚拟化不只是服务器与储存厂商提出具体的数据保护方案,现在,网络安全设备厂商也陆续推出虚拟化的相关产品。

服务器虚拟化不只是服务器与储存厂商提出具体的数据保护方案,现在,网络安全设备厂商也陆续推出虚拟化的相关产品。我们将告诉你在安全防护上该注意的所有事项。服务器虚拟化是IT基础架构得以资源共享、共享的作法,也是未来机房的重要元素之一,然而,在整个环境移转的过程中,稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。

全面检查虚拟机器的安全性做法

服务器虚拟化是构成未来新一代企业机房的重要元素之一,由于硬件效能的突飞猛进,使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而,在整个环境移转的过程中,有许多安全上的问题也会随之产生,稍有不慎就会造成危害,而影响到日常的营运。

许多人认为「虚拟化是实体环境的应用延伸,对于虚拟机器的安全防护只需要采用现有的做法管理即可,这个观点从某些方面来说是正确的,但实际上两者之间仍有着诸多差异之处,如果未能及时正视这些差异,就有可能因此产生安全问题。

网络架构因虚拟化而产生质变

网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前,企业可以在前端的防火墙设备上订立出多个隔离区,针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。

虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMwareESX/ESXi,微软的Hyper-V),或者由「虚拟──实体」网卡之间的桥接(如VMwareServer/Workstation,微软的VirtualServer/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。

要解决上述问题的最简单做法,就是在每一台虚拟机器上都安装防毒软件,以及其它种类的杀毒软件。不过如此一来,却又可能衍生出一些管理上的疑虑,例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。

此外,虚拟机器安装杀毒软件后的运作效能,也值得企业加以注意,过去在一台实体主机上安装防毒软件,几十MB的内存使用量不会是太大的问题,但是在虚拟化的环境下,多台虚拟机器累积下来,就可能占用到相当可观的硬件资源,因此需要寻求其它做法加以因应解决,才能做好虚拟平台上的安全控管。

从虚拟层下手拦截安全威胁

虚拟化平台的厂商已经提出一套作法,像VMware在今年2月宣布推出VMsafe的API技术,就引发很大的关注,这么一来,能够让杀毒厂商能够开发与VMware ESX/ESXi半虚拟化平台相整合的杀毒软件,以便解决前面所提到的这些问题。

VMsafe的运作架构相当简单,相当于我们在每一台虚拟机器前面放置一台安全检查设备,去过滤进出这些虚拟机器的所有流量,于是虚拟机器就不需要安装任何的软件便能得到保护,因此可以省下不少的硬件资源,而实际上,杀毒软件仅是安装在VMware ESX/ESXi平台之上的一台虚拟机器而己。

其实早在2002年,国外就有人提出过相同的概念,希望结合入侵侦测防御的技术,保护虚拟机器不受破坏。

从VMware公开的架构图来看,VMsafe是一个介于虚拟机器与Hypervisor之间的虚拟层,但其实,VMsafe的一部份组件是内建于Hypervisor,其它则是寄生于厂商基于这项技术所开发的杀毒软件,值得注意的是,并非所有的VMware ESX/ESXi版本都有支持这项技术,只有3.0版本以上的VMware ESX/ESXi才有将VMsafe的组件内建其中。

利用VMsafe,除了能够检查网络流量当中可能存在的安全威胁之外,杀毒厂商可以收集到关于虚拟机器的硬件参数,做为安全管理上的参考依据。VMsafe目前所能收集到的信息太过于底层,约略等于透过主板BIOS所能看到的层级而己,因此很难加以有效运用,其它与VMware合作的杀毒厂商也应该发现到了这项不足之处,目前正与VMware进行进一步的讨论,希望在未来能够利用这项技术收集到更多的信息。

相关产品已有企业实际导入

目前采用VMsafe技术的杀毒软件并不多见,许多仍处于开发,或者是测试中的阶段。Check Point所推出的VPN-1 VE防火墙就是最早出现在市面上的产品之一,目的是隔离不必要的网络联机进入虚拟机器内部,造成安全问题。

赛门铁克在今年9月在美国拉斯韦加斯举行的VMworld大会当中,展示了一款采用VMsafe技术所开发的防毒墙原型,它在虚拟机器没有安装防毒软件的情况下,能够检查进出流量当中是否含有恶意程序。

除了上述产品之外,类似的产品还包括了Reflex Security的VSA,这是一款可以安装在VMware ESX/ESXi,以及Citrix XenServer平台的IPS产品,早在2005年的时候就已经有产品推出。

从架构上来看,VSA主要是把透过监听流量为主的旁路模式,以及兼具流量过滤、检测的透通模式保护虚拟机器的运作安全。以透通模式来说,探测器必须设置于受到保护的虚拟机器前方才能正常运作。

在ESX的平台之上,至少需要设置两台的虚拟交换器,其中一台连接外部的实体网络,另外一台交换器则放置于后端,提供给虚拟机器联机之用,并与前端的交换器之间形成桥接,探测器就位于两者之间,目的是为了检测来往于两台交换器之间的网络联机是否异常。

唯有经过检测,确认安全无虞的网络流量才能与虚拟机器进行联机,同样地,虚拟机器所发出的流量也必须经过VSA的检查之后,才能经由前端的虚拟交换器传送到实体网络。

微软本身也是虚拟化技术的主要供货商之一,随着Hyper-V服务器的推出,据了解,某些杀毒厂商也会随之推出相关的虚拟化安全产品,同样将整合Hyper-V的Hypervisor提供保护。

共2页: 上一页1 [2]
责编:杨雪姣
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918