第一页
2007年,有关数据中心的虚拟化应用大家最关注的问题就是"虚拟化的运用到底能我们节省多少时间和金钱?",2008年,大家最关注的将演变为"怎样能保证虚拟化环境的安全?"。
这个问题非常难以回答。安全产品服务提供商和咨询师们对于个中风险和如何防范风险也是众说纷纭。同样,安全产品的研发人员也对各种理论上的风险夸大其词,比如针对管理程序的恶意软件的兴起。"有关虚拟化的争论正在甚嚣尘上"伯顿集团市场研究机构的资深分析师克里斯.沃夫这样说道。
还有个火上浇油的事实就是多数IT企业表示2007年在他们开始大规模使用虚拟机时,他们更多考虑的是把运行速度放在首位,而把其他因素包括安全规划都置之一旁。(这并不奇怪,要知道多数企业都是在进行测试和应用程序开发的硬件上开始虚拟化应用,而不是在运行核心商业应用软件的服务器上)。
"我们发现安全问题在虚拟化扩建的过程中成了被大家遗忘的角落"互联网数据中心企业系统管理软件研究室负责人史蒂夫.艾略特表示。"我们一想到目前已经投入使用的虚拟机的数量就不不禁惶惶不安"根据互联网数据中心的统计显示,目前已经有75%的拥有1000或者更多雇员规模的大公司在使用虚拟化技术了。
Gartner公司副总裁尼克.麦克唐纳在出席Gartner2007年10举行的IT信息座谈会上预测说,到了2009年,约有60%使用中的虚拟机与物理机相比要不安全的多"。
安全问题专家克里斯.赫夫表示,人们总喜欢把虚拟机与物理机进行比较,不停的询问两者的安全性孰优孰劣然后进行讨论。但是我认为有关虚拟化安全的各种讨论应该到此为止了。
这本来就是个错误的问题,克里斯.赫夫作为优利系统公司安全革新方面的总设计师经常在他的博客上以此为题进行讨论,他认为正确的问题应该是"你已经在虚拟化环境下将你所了解的安全知识加以应用了吗?"。
"人们总是被一些理论的东西弄的晕头转向,其实在真实环境中你还是可以采取一些措施的。赫夫表示,虚拟化的运用确实带来不少新的安全问题,但我们首先要做的就是实际一些,要相信自己能够将虚拟化网络建设得和物理网络环境一样出色.
赫夫以VMware公司的虚拟化管理工具VMotion为例,这款产品对及时消除虚拟机的故障很有帮助,也能允许管理员在物理环境下对两台虚拟机进行合并,为了安全起见还能根据网络交通情况对其进行分离。
一些IT企业看到这里马上又会犯基础性错误:他们将运用虚拟化技术的服务器形单影只的运行,而将整个IT团队的安全维护,存储和网络专家们置之门外。这就会导致安全隐患,而这些问题与虚拟化技术和产品的自身弱点无关。赫夫认为"这其实是个让整个团队同心协力的大好机会"。
"虚拟化的运用90%在于计划"伯顿集团的沃夫表示"这个计划必须涵盖整个团队,包括网络,安全维护和存储等各个部门的团队协作"。
但事实上,多数的IT团队在推进虚拟化的过程中盲目扩张,以致于自己都手忙脚乱。如果你错过了与专家共同规划的机会,那么在你进行虚拟机扩充和在虚拟机上运行应用软件时就要格外小心了。
"为了能跟上虚拟化的潮流,先要从虚拟化体系架构入手使用管理工具对其进行认真的核查"沃夫表示(他向大家推荐使用CiRBA公司和PlateSpin公司的智能审核工具软件)。
以下是企业为了维护虚拟化安全需要采取的十大步骤:
未完,请翻页
第二页
1. 控制虚拟机的增长速度
Arch Coal公司的首席信息官迈克尔.阿本尼负责公司内部的IT部门,他对虚拟机增长过快所带来的问题有自己的独到见解: 创建虚拟机只需几分钟的时间。但它们的确能很好地独立完成各项计算工作。 但你拥有的虚拟机越多,你所面临的安全风险就越高。因此你最好能对所有的虚拟机都保持追踪。
"我们先从简单的虚拟化测试和开发硬件入手,"迈克尔.阿本尼说道。 "继而转向小型的应用服务器, 然后逐步扩大直到成功。 我们必须明白盲目行事只会增加我们的风险。" Arch Coal公司目前拥有45台虚拟机,其中包括活动目录服务器和一些应用和网络服务器。
那么该如何控制服务器的增长速度呢? 有一个方法: 按照创建物理服务器的规则去创建虚拟服务器或虚拟机。 在Arch Coal公司,IT团队对创建新的虚拟机的审核十分严格:"无论是物理服务器还是虚拟机,要经历的审批流程就并没有什么不同,"Arch Coal的微软系统专家汤姆.卡特这样强调说。
本着这个目的,Arch Coal的IT部门通过变化控制委员会(由服务器、储存等不同部门的IT员工交叉组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了,即使是取得了开发人员的同意。阿本尼表示。
VMware公司的VirtualCenter(虚拟化中心)管理工具与Vizioncore的工具能帮助IT部门对虚拟机的增长速度进行管理。
互联网数据中心的艾略特表示 "虚拟机的增长过快是一个很严重的问题,它会导致在管理、维护和供给等各个环节上的落后"。 同时,如果你无法有效的控制虚拟机的数量,那些出乎意料的管理问题也会造成成本激增。
2. 将现有的流程在虚拟机上加以应用
虚拟化最大的魅力或许就在于它的速度: 你可以在几分钟内就创建一个虚拟机,轻松的进行迁移,为你的商业部门提供最新的计算能力,几周的工作量缩短到一天时间里就能完成。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重,要让虚拟化成为你现有IT流程的一部分,并且将安全预防问题放在第一位,艾略特说道。 你会逐渐发现更多令人头疼的管理问题。
"流程很重要,考虑虚拟化不仅要站在技术的角度,而且还要从流程出发。比方说,如果你是使用信息技术基础设施库(ITIL)来引导你的IT流程,那么你要事先考虑如何将虚拟化融入到整个流程框架里,"艾略特建议说。 如果你是使用其它IT最佳实践方法,也要考虑到虚拟化融合的问题。
赫夫给我们举了个例子: "如果你有一个服务器强化文件(指新服务器的安全和安装标准),你就应当在你的虚拟服务器上按照物理服务器的流程一一照搬"。
在Arch Coal公司,迈克尔.阿本尼的IT团队也是这么做的: "我们采用最佳实践来确保物理服务器的安全,并将此照搬到每一台虚拟机上,"阿本尼认为。 通过强化操作系统,在每一台虚拟机上运行防病毒软件,确保补丁管理的及时升级并保持虚拟服务器与物理服务器上的流程同步。
3. 从你现有的安全工具入手,时刻保持审慎的态度
你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 没有这个必要。从你现有的安全工具(诸如目前物理服务器和网络设备所用到的工具)入手,将它们运用到虚拟环境中的做法会更有意义,赫夫说道。 但你要给厂商一点压力,让他们告诉你该如何密切留意虚拟化的风险,以及如何与其它产品同步前进。
"在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的认识"互联网数据中心的艾略特说道"市场上有些安全工具早就加入了虚拟化的概念。 这意味着你必须要给厂商更多的压力"。
"不要以为平台工具(比如VMware工具)对你来说已经足够"艾略特说道"你要把目光瞄向那些安全管理厂商。 给那些管理厂商多一点压力,让他们去多做一些,并为他们提供指引"。
马自达北美公司的首席信息官Jim DiMarzio就在他的企业中采用了这套战略。 如同Arch Coal公司一样,马自达北美公司在其虚拟服务器的核心上运行了VMware公司的ESX Server 3软件,并在最近增加了虚拟机的数量。 DiMarzio表示他希望在2008年3月前拥有150台虚拟机。他使用虚拟服务器来作为活动目录服务器、打印服务器、客户关系管理应用服务器和网络服务器 - 最后这项应用最具关键性,因为马自达使用这些网络应用来向其所有的经销商提供信息,DiMarzio说道。
为了保障这些虚拟机的安全,DiMarzio决定继续使用他现有的防火墙和安全产品,包括IBM公司的Tivoli Access Manager, 思科公司的防火墙工具(firewall tools),以及赛门铁克软件公司的入侵检测系统监控工具(IDS monitoring tools)。
在Arch Coal公司,阿本尼与他的团队也是坚持使用他们现有的安全工具,还有BlueLane 公司和虚拟化安全厂商Reflex Security公司的调研工具。"那些安全与变革厂商都在努力迎头赶上"阿本尼说道。
举例来说,BlueLane公司就宣称,他们的补丁仿真产品虚拟盾VirtualShield(针对VMware产品的虚拟设备版)甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全,自动扫描潜在的问题,对问题区域进行升级并保护它远离远程威胁的侵害。
虚拟化安全厂商Reflex Security公司的Virtual Security Appliance (VSA)也是少数需要引起关注的产品之一,它对虚拟入侵检测系统(IDS)尤其有用,在虚拟机所在的物理服务器中为其添加了安全协议层。 这可以防止系统管理程序免遭攻击同时避免将来可能产生的麻烦。阿本尼的团队表示。
阿本尼表示他的IT团队也讨论了添加第二个内部防火墙来进一步隔离虚拟机的事宜,但他担心这会对虚拟化应用软件的使用造成影响。
互联网数据中心的艾略特表示还有一些其它的虚拟化安全工具值得IT管理部门去关注: 比如PlateSpin就是一款著名的从物理机到虚拟机的工作负载转换和管理工具; Vizioncore是一款文件层次备份工具; Akorri是一款绩效管理和工作负载平衡工具; 而最近被戴尔公司收购的存储厂商EqualLogic以其iSCSI储存区域网络(SAN)产品来优化虚拟化而闻名。
未完,请翻页
第三页
4. 充分了解嵌入式管理程序的价值
或许你早已听说过"嵌入式"管理程序,这是IT管理人员必须了解的词汇。 服务器上的管理程序层是虚拟机的根基所在。 VMware公司近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的,不包含操作系统的应用。 (没有操作系统也就意味着没有操作系统维护上的麻烦)
像戴尔公司和惠普公司等硬件厂商近期都表示他们会在服务器出货时预装这种嵌入式VMwareHypervisor。 基本看来,嵌入式管理程序因为相对较小,所以更安全,互联网数据中心的艾略特表示。 "代码库越大,受攻击的可能性也越大,这由你选择的体系架构而定。"
嵌入式管理程序将会成为未来的一大发展趋势,艾略特表示,越来越多的服务器厂商会使用它们,有些厂商以前不使用的也会使用它们。美商凤凰科技公司(Phoenix Technologies)是一家BIOS软件领域的龙头厂商,近期它宣布加入管理程序的阵营,第一款产品将命名为HyperCore: 这是一款针对桌面型和笔记本电脑的管理程序,它能让用户在开机后就能使用网页浏览器和电子邮件客户端,而不需等到启动windows操作系统以后再这么做。 (HyperCore将会被嵌入到电脑的BIOS中。)
管理程序市场的竞争与创新对企业来说未尝不是一件好事,赫夫说道。 它能激励厂商争相提供体积更小、更为智能的管理程序软件。
"不管它是凤凰科技公司还是其它厂商,这场有趣的战争都会带领管理程序成为下一个卓越的操作系统"赫夫说道。
降低受攻击的可能性并非嵌入式管理程序的唯一强项。马自达公司的IT管理小组正期待即将到来的预置了VMware ESX server的戴尔服务器,马自达公司的IT系统经理Kai Sookwongse表示"我们所期待的功能之一是所有的虚拟机映像都能在存储区域网络上展现,当我们启动服务器时,它能从存储区域网络的映像上启动。这种集中管理与安全的方式也意味着马自达公司能够订购一台没有硬盘的服务器,从而达到物理安全的目的,他强调说。
5. 不要给虚拟机盲目指派过度的权限
务必牢记,在你对虚拟机指派管理级别的访问权限时,你就等于授权访问那台虚拟机的所有数据。 伯顿集团的沃夫建议你仔细斟酌管理人员需要哪些备份帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的,沃夫补充道。 "这些厂商甚至连自己没有遵照VMware公司关于VMware整合备份的最佳实践来执行"。
Arch Coal公司就对所有的虚拟机设置了管理访问权限,该公司的信息安全管理员保罗.泰利表示他的同事汤姆.卡特以及Carter的上司是公司中为数不多的拥有最高权限的管理小组成员之一。
应用开发员的访问权限要尽量降低。 "我们要么降低应用开发人员的访问权限,要么让他们进行共享访问,控制他们对操作系统的访问权限"Carter说道。 这帮助公司控制了虚拟机的增长速度,同时提高了虚拟机的安全系数。
6. 对供应存储多加观察
某些企业如今在存储区域网络上的存储使用有些过度,沃夫说。这不是总体存储量太多的问题,而是你有可能让一台错误的虚拟机共享了部分的存储区域网络,他说。
如果你使用的是VMotion,那么你就等于在存储区域网络上分配了部分区域。你要使那些储存分配更加区位化,沃夫建议道。 N-port ID虚拟化就是一种可以让IT分配存储到虚拟机上的技术,这是一种值得深入研究的技术,沃夫说道。
7. 在网络分区中确保良好的隔离
随着虚拟化在企业中的广泛运用,他们不该忽视网络流量上与安全有关的风险。 但某些风险的确容易被大家忽略。尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。"许多企业仅仅使用性能作为度量方式来加强整合"沃夫说道。 (在评估定位哪些应用服务器在物理机中作为虚拟机的时候,IT团队趋向于先注重那些急用的应用服务器,因为他们不想让一个物理服务器承担太多的工作负载) "他们之所以会忽略这一点,是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起,"沃夫说道。
比方说,某些首席信息官决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写,这是一个储存外部服务到互联网的子网络,就像电子商务服务器那样,在互联网和局域网之间增加一个缓冲)。如果你在DMZ中有虚拟机,那么你或许要将它们划分到物理分隔的网络分区中,使它与其它系统分隔开,比如某种关键的甲骨文数据库服务器,沃夫说道。
阿本尼说,在 Arch Coal公司,IT团队会在一开始就考虑到DMZ的因素。
他们在内部局域网中展开虚拟服务器,不面向公众。"这是早期一个关键的决定"阿本尼说道。比方说,该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器; 那就没有必要将虚拟机引入那块领域,他说。
8. 交换上的隐忧
"某些虚拟交换机如今被当网络中心来使用。在虚拟转换机中每一个端口都被映射到其它端口上"沃夫说道。"微软公司的虚拟化服务器就是这样。 而VMware公司的ESX Sserver则不会,思杰系统公司的 XenServer也不会。人们一听到‘交换机'就会认为有分隔存在。 其实它是根据厂商的不同而有所区别的"。
微软公司声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中得到解决,沃夫补充道。
未完,请翻页
第四页
9. 监控桌面系统与笔记本电脑上的"流氓"虚拟机
服务器并不是你唯一要担心的。"最大的隐患来自于客户端-流氓虚拟机"沃夫说道。什么是流氓虚拟机? 记住,你的用户能够下载并使用像VMware Player这样的免费程序,这能让桌面系统和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。
许多用户现在喜欢在桌面系统或笔记本电脑上使用虚拟机来区分工作,或区分公事与私事。有人使用VMware Player来运行多重系统; 比如使用Linux操作系统作为基本系统,但是在运行Windows操作系统时创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)
"通常,这些虚拟机甚至都没有达到补丁级别"沃夫说道"那些系统被暴露在网络上。所有这些未被管理的操作系统都处于无人管理的状态"。
"这会给你增添很多风险"沃夫还表示那些运行流氓虚拟机的电脑也是病毒传播的始作俑者。更坏的是,它会将病毒传播到你的物理服务器网络上。比方说人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。最终你将浪费大量的IT资源来追踪这些问题,"它甚至只是由一个简单的用户错误所引起的。"
那么你该如何避免流氓虚拟机呢? 你应当从一开始就控制那些拥有VMware工作站的人(因为他们需要安装虚拟机)。IT管理部门也可以使用一个安全策略组来防止某种程度上的软件执行,比如针对那些需要安装VM player的人,沃夫说道。"另一个选择是定期审查用户的硬盘。你要找出那些装有虚拟机的电脑并将它们标记起来以备追踪,"他说。
这会转变成用户和IT管理部门之间的又一个冲突,技术熟练的用户希望能够象在家里一样的在公司电脑上使用虚拟机。"而大部分IT管理部门都疏忽了这一点,"沃夫提醒道。
如果你允许用户在电脑上安装虚拟机,那么像VMware Lab Manager(VMware实验室管理工具)和其它管理工具都能帮助IT管理部门控制并监管那些虚拟机,沃夫强调说。
10. 在计划预算时要牢记虚拟化安全问题
"确保在虚拟化安全和管理方面分配到适当的预算"互联网数据中心的艾略特表示。"你或许不需单独列出虚拟化安全预算"Arch Coal公司的阿本尼说"但你的总体安全预算必须涵盖到这一部分"。
同时,在你计算虚拟化投资回报的时候留意安全成本。随着虚拟服务器数量的越来越多"你的安全成本也会相应的增加"赫夫说,因此你要运用现有的安全工具来管理每一个你所创建的虚拟机。 如果你没有预料到这部分费用,那么你的投资回报很可能就此付诸东流。
根据Gartner公司统计,这是目前普遍存在的问题。Gartner公司的副总裁尼尔.麦克唐纳在2007年10月举行的的Symposium/ITxpo大会演说中表示"到2009年,约有90%的虚拟化部署都有可能产生出乎意料的成本费用,比如安全成本,从而影响到投资回报"。
网友评论