虚拟化环境下如何保护你的数据中心

so_brave

虚拟化环境下如何保护你的数据中心

随着将关键业务应用和敏感的数据不断迁移至虚拟基础设施，越来越多的组织正在评估并部署虚拟化安全设备与工具。

　　在虚拟环境中共享硬件资源扩大了对安全性的需求，因为众多虚拟机寄居在一台主机上。和传统的物理服务器相比，虚拟化环境引入了新的攻击面。安全工具与应用在虚拟化环境中通常是无效的，因此为了确保虚拟环境的安全，必须使用专门为虚拟化环境而开发的工具。

　　如果不同时对hypervisor以及虚拟环境的管理组件进行保护，那么你为保护虚拟机客户操作系统所做出的所有努力都是徒劳的。虚拟机被封装为单个虚拟磁盘文件，当虚拟机的便携性变得非常高时将会带来风险。从数据中心偷走一台服务器是很困难的，但是既然能够轻松拷贝虚拟机，那么虚拟机可以轻松地从数据中心的大门溜出去。

　　虚拟化是一个相对较新的技术，众多的安全规则，比如支付卡行业数据安全标准（PCI DSS）都未将虚拟化技术考虑在内。PCI DSS的最新修订版现在开始关注虚拟化层。在今天公司必须能够证明它们对虚拟化环境的安全性具有充分的控制。幸运的是，众多的第三方工具现在能够确保虚拟化环境符合标准。

　　虚拟化环境将物理网络扩展到主机中，主机的虚拟交换机仅存在于主机内存中。虚拟交换机是一个二层交换机，它具有物理交换机的特性，连接了主机的物理网卡与虚拟机的虚拟网卡。因此，一些网络流量从未脱离主机，处于主机外部位于物理网络中的安全工具是不能够检测到这些流量的。专门为虚拟换环境而设计的安全工具位于虚拟网络中并与hypervisor进行了集成，因此这些工具能够查看虚拟机上的所有流量，即使这些流量从未脱离主机。所以有必要使用虚拟化安全工具弥补传统安全工具的这一缺陷。

　　众多的工具都在关注虚拟网络。产品比如Catbird vSecurity通常具有与物理环境相对应的产品相同的特性，为虚拟机和虚拟交换机提供了防火墙、入侵检测以及入侵防护设备。

　　虚拟化安全设备

　　虚拟化安全工具通常部署为虚拟化设备，小型的代理设备通常运行在每台主机之上，一台管理设备可以管理所有的代理设备。保护虚拟机的通用方法是在主机上创建受信域。这通常会涉及到创建没有与物理网卡相关联的虚拟交换机并将虚拟机与该交换机进行连接。

　　随后防火墙设备虚拟机与孤立的虚拟交换机相关联，然后再连接到**具有物理网卡的交换机，这就创建了一座桥，访问虚拟机的所有流量都会经过这一虚拟安全设备。这是一种监控网络流量并保护虚拟机的有效方式，但是其效率低下而且还存在单点故障。为保护位于不同虚拟交换机之上的众多虚拟机，需要对整个虚拟网络架构进行改变，有时还往往需要多个虚拟设备。

　　VMware公司意识到了使用桥接保护虚拟机效率的低下。该公司创建了一个允许与虚拟机进行直接交互的VMsafe API，使用VMsafe API，不是尝试在虚拟交换机上保护虚拟机，而是在每个虚拟机的网卡上对虚拟机进行保护，而且不需要对这个网络进行配置。VMsafe不仅使监控与保护虚拟机变得更加容易，而且效率也更高。

　　VMsafe实现方式有两种：快速路径和常规路径。常规路径基于传统的桥接配置，尽管它不像快速路径那样有效，但是常规路径允许IT使用提供全方位服务的虚拟设备对流量进行监控。

　　另一方面，快速路径直接作为hypervisor内核的一个可加载模块实现，因此在监控流量时效率更高。正因为如此，和常规路径相比，快速路径提供了更大的可扩展性，但是可加载的模块的代码量必须是最小的而且仅限于实现其功能。众多供应商使用了快速路径与常规路径相混合的方式实现其产品功能。

　　虚拟化防火墙产品

　　当你选择虚拟化防火墙产品时，要考虑设备厂商如何实现并与hypervisor进行集成。Juniper以及Reflex Systems LLC是VMware VMsafe的早期采用者，已经拥有了成熟的产品——vGW虚拟化网关以及vTrust，都是采用的快速路径方式。VMware vShield的第一个发行版采用的是桥接模式，但是其最近发布的产品使用了VMsafe，这和HP公司的TippingPoint虚拟控制器类似。

　　**的厂商比如Catbird Networks，采用的是常规路径，其产品比如Vyatta公司的Network OS和VMsafe相比并不具有优势而且是以桥接的模式运行的。桥接或者常规路径在小型环境中能够很好地运转，但是如果是在大型环境中，那么你可能需要的是快速路径工具。

　　为确保虚拟环境的安全，你可能需要不止一款工具来对所有潜在的风险进行防护。因为在大型环境中拥有众多的接入点，控制和访问审计是很重要的。
　　应该尽可能地限制对虚拟环境管理层的访问。虚拟化架构的独特性使访问并拷贝整个虚拟机变得过于简单。无论你将如何对客户操作系统进行防护，但是如果是在虚拟化层访问该虚拟机，那么你就能够轻易地破坏客户操作系统的安全性。

　　因为内置控制通常不能够很好地进行扩展，因此控制各种各样的访问方式并设定正确的访问可能有困难。HyTrust公司使用HyTrust Appliance解决了该问题，在VMware环境中提供了单点登录。这样一来，对vSphere虚拟化环境的所有访问都是通过HyTrust Appliance实现的，它扮演了整个虚拟化管理组件安全代理的角色。

　　HyTrust Appliance同时还提供了更多的细粒度控制，允许管理员将任何目录用作身份验证源。除此之外，它还提供了统一的日志机制，这样管理员就不必仔细检查所有的日志来制作访问报表。

　　CA公司的虚拟特权管理器旨在对任意虚拟化环境的访问进行控制。在大型虚拟环境中，访问控制可能是个噩梦，因此能够简化这一任务的产品的确能够节省时间而且将使企业变得更加安全。

　　把工作安排得井然有序

　　虚拟化仍旧是一个相对新的技术，而且很多虚拟化工具仍然不够成熟。IT部门最初在虚拟化环境的安全性方面没有投入太多的精力。但是，由于过去两年云计算技术的不断发展，这一局面开始有所改变。

　　规章制度的不断增加在不断推动着安全性的提升。而且很多公司在努力遵从安全的合规性。幸运的是，众多的安全厂商认清了这一挑战，其产品所提供的特性为遵从安全合规性提供了帮助。

　　当规划虚拟化环境所需要的安全措施时，要花时间把事情安排的井然有序。尝试使用你正在考虑的虚拟化安全工具，这样你就能够直接对其特性进行评估。但是请注意安装，配置并卸载这些产品可能具有破坏性，因此要考虑对生产系统的影响。

　　产品的集成度以及扩展性是需要衡量的另一个关键因素。一个产品可能具有稳固的特性，但是如果难于实施，不好用，这可能成为你所在环境中的一个瓶颈，弊端大于带来的好处。

　　一定要进行多层次的保护：数据，应用，操作系统，物理服务器，以及虚拟层。正确的安全工具确保了对生产环境的全面覆盖性以及虚拟机和数据的安全性。

阳光的扣子

谢谢分享