随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这些环境中的安全性。
很多公司不得不面对的现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准。
为什么企业安全团队迟迟没有部署必要的政策和流程来安全地管理虚拟化平台呢?有时候,这是因为不成熟技术(例如端点安全)不能很好地应用在虚拟数据中心。在其他情况下,安全团队可能不知道“他们不知道什么”,或者在部署流程中不够成熟。
现在越来越多的企业虚拟化其数据中心,在这些环境中部署基本的安全做法和技术的需求也在增加。现在有很多可用技术来帮助IT安全在虚拟基础设施部署控制,但安全团队只是部分地使用这些工具。随着计算工作负载逐渐增多,安全团队应该认真评估虚拟化专有技术,并更深入地整合到其数据中心。
管理不当的环境
好消息是,虚拟化可以简化漏洞修复和配置管理,但同时也需要严格的目录管理来避免虚拟机泛滥。
在虚拟化环境中,很多虚拟机位于单个物理系统,即所谓的多租户。管理程序软件负责维护虚拟机之间的分隔和隔离。同时,开源或商业虚拟网络和虚拟安全设备或插件可以辅助这一工作。
在虚拟化环境中,配置管理其实可以更容易。使用模板可以简化新虚拟机的部署,模板维护可以帮助集中化配置管理工具和做法到一个位置。微软、Citrix和Vmware都提供工具和其他办法来创建和管理虚拟机生命周期以及配置虚拟机生命周期及配置。
虽然漏洞修复在很多企业仍然是挑战,但对虚拟机测试补丁通常更容易,因为你可以在测试前对镜像快照,并在测试完成时回滚到原来的镜像。
然而,在很多环境的主要安全问题是缺乏虚拟机相关的完善的目录管理。管理员和开发人员可以很容易地创建虚拟机,这种简便性导致系统在配置时很少考虑到生命周期管理。有时候虚拟机可能会被暂停或关闭,并保持休眠一段时间;然而,与这些机器相关的文件仍然包含敏感数据。当虚拟机再次启用时,它们可能已经错过补丁修复和关键的配置控制。
想要正确管理虚拟环境的动态特性,运营团队需要更新和调整其变更管理流程来适应变化的节奏,同时考虑虚拟化堆栈中所有组件的依存关系—存储、网络和虚拟机管理程序。#p#
角色和特权管理
在虚拟环境的职责分离也很困难。有些IT企业在开始虚拟机部署时,让现有的管理员和工程师团队设计并部署虚拟化技术。这一团队通常需要管理虚拟基础设施的各个组件,缺乏职责分离可能导致意外错误或者管理不当的环境(更不用提当某个虚拟化团队成员变成恶意内部人员所造成的问题)。
Vmware管理员使用默认的“管理员”角色执行所有管理活动并不是稀罕事。在虚拟环境中管理存储和网络对象的其他IT管理员通常也会承担这一角色,这些管理员通常有着过多的操作权限。
从网络安全方面来看,这种趋势是明显的后退。有些企业正在部署中央接入网关到其虚拟化管理工具,其中包括更强的的角色和权限管理。这样的产品例子是Hytrust设备—它整合了Vmware的vCenter管理平台。
流量问题
在虚拟数据中心的网络架构整合也可能导致影响安全的问题。由于所有虚拟机都共享硬件,虚拟机管理程序服务器或刀片服务器中的网络接口数量可能会决定网络流量的融合程度。
大多数虚拟环境包含正常的生产流量,以及管理流量来访问和操作虚拟化组件的存储流量(例如iSCSI或光纤通道)。此外,还有操作流量,例如动态虚拟机迁移(在Vmware环境中被称为vMotion)。
vMotion流量包含以文本形式发送的虚拟机(VM)内存内容,这可能包括敏感数据和身份验证凭证。管理流量可能包括配置详细信息或对攻击者有用的其他信息。这些信息与生产流量混杂可能会增加数据在环境内暴露机会,如果攻击者成功入侵环境,这可能导致数据泄露。现在很少企业会完全区别对待虚拟数据中心的所有这些数据类型。#p#
更好的技术控制
在过去几年中,虚拟化专用技术控制领域发生了很多变化。幸运的是,企业安全团队使用的一些工具已经得到显著改善,让IT人员可以在虚拟环境实现与物理环境相当的安全水平。
所有主要防火墙供应商现在都有虚拟化选项,即虚拟设备(专门的VM)。Check Point、思科、Fortinet、瞻博网络和Palo Alto等多家知名厂商都提供各种型号的虚拟设备,这些设备可以整合到虚拟基础设施。Vmware也有自己的vShield系列虚拟防火墙,同时提供内部和外围监控以及流量控制。
然而,很多安全团队并没有广泛使用虚拟防火墙。这个功能存在,只是网络和安全团队仍然感觉其物理防火墙能够处理网络内的流量控制。
对这些设备的管理是另一个挑战。有些虚拟化团队感觉他们应该管理虚拟环境内的所有组件,即使是那些网络或安全相关的组件。
从成熟度的角度来看,网络IDS/IPS可以媲美虚拟防火墙。有时候在虚拟设备也提供这个功能(采用更加统一威胁管理UTM的方法来实现网络安全)。请参见后文的“现状分析:虚拟网络安全工具”。
除了独立的平台,入侵检测在虚拟环境可以更容易得实现,因为虚拟交换机中具有先进的功能。很多交换机(包括来自微软、Vmware、思科和Open vSwitch项目的交换机)允许NetFlow输出,以及端口镜像选项复制流量到专用的入侵检测设备或外部传感器。
端点安全变化
发生显著改变的领域是端点安全。在大多数虚拟化环境,传统防病毒代理太耗费资源,很多传统终端产品并没有完全优化用于虚拟系统。Intel Security(MOVE)和趋势科技(Deep Security)的新技术卸载端点安全处理到专用虚拟机,同时利用本地API调用和内核集成来保持VM的处理要求在低水平。
很多企业还没有部署这些专门的端点安全产品,不过,大部分企业已经开始测试这些工具或者实现有限的部署。在为虚拟环境选择端点安全产品时,安全团队需要注意的事项包括以下:
· 检查供应商产品与你的虚拟化技术的整合水平。目前,Vmware拥有来自新的反恶意软件和其他端点安全供应商的最多支持。微软和Citrix与第三方供应商只有较少的整合
· 注意新的“卸载”模式的局限性和缺点。虽然性能可能会提高,但为行为启发式执行实时扫描和内存分析的能力可能会受到影响。此外,这些产品可能无法在大型环境中很好地扩展。
· 要求供应商提供客户参考,以及在你的端点类型和虚拟化技术内操作相关的性能统计数据和指标。#p#
虚拟机管理程序日志收集
目前,很多企业的虚拟环境内的日志记录和监测非常不成熟。
最大的问题是从虚拟机管理平台进行日志收集,很多企业根本没有这样做或者做得不够。虚拟机管理程序平台会生成各种日志信息,告诉你谁正在使用该平台、正在进行什么类型的活动、性能和行为统计数据等。例如,Vmware是ESXi虚拟机管理程序包含以下日志信息,安全和运营团队应该这些日志进行收集:
· /var/log/syslog.log – 通用系统日志文件
· /var/log/auth.log - 身份验证和安全事件
· /var/log/vmkernel.log - 其他虚拟机管理程序的信息
· /var/log/hostd.log - Master ESXi服务日志
· /var/log/vpxa.log - vCenter 管理代理日志
大多数基于Linux的虚拟机管理程序(Xen、KVM、Vmware)本身包含某种系统日志守护进程,这使得日志收集和汇总更简单。在Hyper-V环境中,应该使用针对Windows Event Viewer的日志代理,虽然Microsoft System Center工具也可以从分布式管理程序检索日志和事件数据。
安全团队应该收集其环境中所有虚拟机管理程序的所有相关日志信息,并整合这些信息到中央日志管理和SIEM平台进行分析和关联。
最后,在大多数企业,仍然需要解决物理和虚拟环境内部署的安全技术之间的差距。但目前很多IT和安全团队迟迟没有部署必要的政策和流程来更好地管理虚拟化平台和虚拟机。
随着企业对虚拟数据中心的投资增加,企业安全团队应该认真评估虚拟化专有安全工具,而首席信息安全官应该部署和改进虚拟化管理及操作相关的政策和流程。现在虚拟环境内的安全性并没有达到物理系统和网络的水平,但随着虚拟技术的发展以及政策到位,这个问题可以得到解决。
现状分析:虚拟网络安全工具
在评估虚拟设备时,企业团队应该考虑以下方法来提高虚拟网络安全性:
确定你是否需要虚拟防火墙来对发送到、发送自虚拟化或云计算基础设施及其内部的流量进行控制。在某些情况下,因为合规目的,或者为了实现比现有物理防火墙及架构可提供的流量控制更细粒度的控制,企业可能需要虚拟防火墙。
确保你的虚拟IDS/IPS或防火墙供应商支持你主要的虚拟技术。目前,大多数供应商支持VMWare,而Xen和Hyper-V平台的支持则很有限。
考虑虚拟设备需要多少资源—它们需要内存、磁盘空间和CPU。
考虑防火墙和IDS/IPS管理相关的管理问题。在大多数情况下,可以让当前管理防火墙和IDS/IPS的团队管理虚拟模式。
