保衛(wèi)虛擬化安全，企業(yè)該選哪把槍?zhuān)?/h1>

原創(chuàng) 2009-08-17 09:25:52

云計(jì)算

虛擬化

新聞 服務(wù)器虛擬化安全問(wèn)題已經(jīng)成為了用戶實(shí)施服務(wù)器虛擬化的一大顧慮。面對(duì)這種情況，眾多虛擬化廠商紛紛在服務(wù)器虛擬化安全方面做出了調(diào)整，面對(duì)眾多的虛擬化安全技術(shù)，企業(yè)該選擇誰(shuí)家的呢？

【51CTO.com快譯自8月17日外電頭條】服務(wù)器虛擬化橫掃了數(shù)據(jù)中心，但有個(gè)事實(shí)卻讓人心寒，那就是人們?cè)谠O(shè)計(jì)、測(cè)試或部署服務(wù)器虛擬化的過(guò)程中很少考慮到安全性。這個(gè)問(wèn)題事關(guān)重大，因?yàn)槲锢硎澜缰械膫鹘y(tǒng)安全策略和做法在虛擬世界中完全不同。

虛擬化安全需要防衛(wèi)的槍

物理世界的安全往往與“物理”屬性緊密聯(lián)系，比如MAC地址、服務(wù)器身份識(shí)別和IP地址等等，而這些在虛擬機(jī)中不能起到作用。另外企業(yè)的安全工作人員和虛擬機(jī)管理員一般不會(huì)在一起工作，無(wú)法共同設(shè)計(jì)并實(shí)施高效安全的虛擬化底層架構(gòu)，這讓事情變得更糟。

結(jié)果是hypervisor和虛擬層終將受到損害。hypervisor不像我們聽(tīng)到的那么神奇，它也只是軟件，沒(méi)有任何軟件不會(huì)出現(xiàn)錯(cuò)誤或漏洞。從51CTO.com以往的報(bào)道可以看出，安全減緩服務(wù)器虛擬化發(fā)展已經(jīng)成為了現(xiàn)實(shí)。

企業(yè)可能會(huì)給自己帶來(lái)漏洞。同一臺(tái)物理主機(jī)上的虛擬機(jī)可以相互通訊，而防火墻和入侵檢測(cè)系統(tǒng)無(wú)法檢查它們之間傳送的數(shù)據(jù)。如果攻擊者占領(lǐng)了一臺(tái)虛擬機(jī)，就可以用它作為基地來(lái)入侵同一臺(tái)服務(wù)器上的其他虛擬機(jī)。

無(wú)意之間，敏感的企業(yè)數(shù)據(jù)可能就會(huì)處在危險(xiǎn)之中。比如虛擬機(jī)的轉(zhuǎn)移經(jīng)常會(huì)自動(dòng)化完成，這可能會(huì)讓一些帶有企業(yè)數(shù)據(jù)庫(kù)的虛擬機(jī)轉(zhuǎn)移到不安全的物理服務(wù)器。還有為快速測(cè)試網(wǎng)絡(luò)服務(wù)器而建立的一些沒(méi)有補(bǔ)丁也未經(jīng)監(jiān)測(cè)的虛擬實(shí)例可能會(huì)與關(guān)鍵的虛擬機(jī)存在于同一虛擬局域網(wǎng)中，這就為滲透攻擊帶來(lái)了機(jī)會(huì)。51CTO.com曾經(jīng)提醒過(guò)您，如果您的單位使用了服務(wù)器虛擬化技術(shù)，我們作為IT管理者，經(jīng)常想的一個(gè)問(wèn)題就是如何維護(hù)好虛擬化環(huán)境的健康與安全？

安全專(zhuān)家和虛擬化管理員要對(duì)付的問(wèn)題有一長(zhǎng)串。業(yè)界也認(rèn)識(shí)到服務(wù)器虛擬化安全問(wèn)題關(guān)系重大，而且可能壓制虛擬化的發(fā)展，因此也正在著力采取步驟，使虛擬機(jī)間和虛擬機(jī)內(nèi)部的數(shù)據(jù)交通變得更加可見(jiàn)，更加安全。

其中名聲最響的努力來(lái)自于VMware，它的ESX hypervisor統(tǒng)治了服務(wù)器虛擬化市場(chǎng)。VMware在2008年春天宣布推出VMsafe項(xiàng)目，提供一套在hypervisor層和監(jiān)測(cè)層運(yùn)行的安全API，安全廠商可以通過(guò)API監(jiān)測(cè)虛擬世界的所有活動(dòng)并執(zhí)行安全政策。

虛擬化安全，大家都有槍

許多創(chuàng)業(yè)公司和規(guī)模較小的廠商最早采用了VMsafe，比如Altor Networks、Catbird Networks和Reflex Security，它們使用API提供了各種虛擬化安全產(chǎn)品。

例如，上個(gè)月Altor發(fā)布了新版本的Altor VF軟件，使用VMsafe的API在hypervisor內(nèi)部運(yùn)行防火墻模塊，這樣所有的流量在到達(dá)虛擬機(jī)之前都要通過(guò)Altor的防火墻。這使安全策略更加嚴(yán)格，為安全專(zhuān)家和管理員提供了一個(gè)監(jiān)測(cè)層。

今年3月份，Catbird發(fā)布了VMShield 2.0，為虛擬機(jī)創(chuàng)造安全區(qū)域通過(guò)比如拒絕虛擬機(jī)與面向網(wǎng)絡(luò)服務(wù)器的應(yīng)用相連接。軟件的最新版本添加了跟蹤功能，管理員可以在物理服務(wù)器之間遷移虛擬機(jī)時(shí)確保各項(xiàng)安全策略。

而傳統(tǒng)的大供應(yīng)商則在接受VMsafe時(shí)顯得動(dòng)作比較慢。例如RSA今年展示了基于VMsafe的概念產(chǎn)品，集成了數(shù)據(jù)丟失防護(hù)、用戶訪問(wèn)驗(yàn)證和其他功能。不過(guò)至少要到明年RSA才會(huì)推出這個(gè)產(chǎn)品。

虛擬化安全，各廠商亮劍出槍

VMware并沒(méi)有把虛擬化安全的工作完全留給第三方廠商（實(shí)際上，就在不久之前，VMware還推出了新產(chǎn)品 提升數(shù)據(jù)中心安全性）。VMware的vShield Zones也提供了類(lèi)似Catbird的功能。vShield允許企業(yè)在VMware環(huán)境中創(chuàng)建邏輯隔離，理想的消除了主機(jī)和虛擬機(jī)集群的物理隔離問(wèn)題。增加的管理層功能有助于限制虛擬機(jī)的遷移，防止出現(xiàn)不符合遵從性的虛擬或物理設(shè)定。

此外，VMware最近還收購(gòu)了專(zhuān)業(yè)的虛擬化安全企業(yè)Blue Lane Technologies。通過(guò)建立自己的一系列安全產(chǎn)品以及通過(guò)VMsafe幫助第三方提供安全底層架構(gòu)建設(shè)，VMware正在尋求實(shí)現(xiàn)全面的安全環(huán)境。

當(dāng)然，VMware的行動(dòng)也招來(lái)了一些爭(zhēng)議，尤其是來(lái)自競(jìng)爭(zhēng)對(duì)手。比如Citrix的首席技術(shù)官Simon Crosby，這位喜歡直話直說(shuō)的開(kāi)源倡導(dǎo)者認(rèn)為私有化的VMsafe API并不是企業(yè)的好選擇，他認(rèn)為更開(kāi)放的社區(qū)模式會(huì)更好，這樣能夠更好的搜索代碼中的缺陷和漏洞。同樣是提供虛擬化安全API，Crosby認(rèn)為Citrix建立的開(kāi)源Xen社區(qū)做的要更好些（51CTO.com提醒關(guān)注Citrix虛擬化技術(shù)方面的朋友請(qǐng)參閱：Citrix虛擬化動(dòng)態(tài)遷移技術(shù)XenMotion介紹）。

Citrix也在努力為其Xenserver hypervisor提供更多的安全功能（51CTO.com提醒您參閱：Citrix將發(fā)布Citrix Essentials免費(fèi)版本）。隨著6月份發(fā)布XenServer，Citrix的hypervisor基本做到了與VMware ESX旗鼓相當(dāng)。同時(shí)，微軟和最近被Oracle收購(gòu)的Virtual Iron也正在努力縮小與VMware和Citrix的差距。

對(duì)于企業(yè)來(lái)說(shuō)，最好是在虛擬化的提議一開(kāi)始就將各方人員集合在一起，包括安全、底層架構(gòu)與虛擬機(jī)的管理員?？赡軙?huì)出現(xiàn)激烈的摩擦，但是企業(yè)虛擬化的部署必須要求安全與可擴(kuò)展的底層架構(gòu)，要做到這點(diǎn)，相關(guān)的各方必須攜起手來(lái)共同工作。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?/p>

原文：Strategic Security: Server Virtualization 作者：Joe Hernick

文章名稱(chēng)：保衛(wèi)虛擬化安全，企業(yè)該選哪把槍?zhuān)?
文章分享：http://m.5511xx.com/article/cdjeejg.html