虛擬服務器安全性為什么就不如他們所取代的物理服務器呢?虛擬化安全尤為重要。導致服務器安全級別較低的原因包括:
●許多服務器虛擬化項目實施之初就沒有將虛擬化安全問題考慮在內
●所有的虛擬工作負載存在虛擬軟件受到安全威脅的可能
●不同信任級別的虛擬工作負載通常被整合在單個物理主機上,沒有進行足夠的隔離
●許多企業(yè)對管理程序/虛擬機監(jiān)管層管理訪問的足夠控制和管理工具
這些對虛擬環(huán)境的實際威脅以管理程序為中心可以劃分為幾個類別:
黑客攻擊:這會涉及對管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級別上運行的,因為管理程序上運行的任何操作系統(tǒng)都很難甚至不可能偵測到這些虛擬化安全威脅。從理論上來說,控制了管理程序的黑客會控制任何在物理服務器上運行的虛擬機。
虛擬機溢出:會導致虛擬機溢出的漏洞會允許黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。
虛擬機跳躍:與虛擬化溢出類似,虛擬機跳躍會允許攻擊從一個虛擬機轉而去威脅在同一個物理硬件上運行的其他虛擬服務器。
虛擬機被盜:這是一種用電子方式竊取虛擬機文件然后四處傳播和運行的能力。是一種相當于竊取了完整的物理服務器的攻擊,而且無需進入安全的數據中心和移除計算設備。
所有這些威脅方式是當企業(yè)部署虛擬化安全環(huán)境時,他們使用了一種全新的關鍵任務元素:管理程序。由于對管理程序的成功攻擊會導致對所有托管的工作負載都造成威脅--而對個別虛擬工作負載的成功攻擊也會對管理程序造成威脅,因此企業(yè)的管理程序應該被認定為關鍵任務軟件并進行適當的安全防護。
在傳統(tǒng)的IT環(huán)境中,網絡流量可以使用一系列服務器安全防護系統(tǒng)來偵測惡意行為以實現(xiàn)監(jiān)控,檢查和過濾。但是虛擬環(huán)境的問題是通過虛擬交互及運行的虛擬機之間的通信很大一部分是無形的:它不是通過有線電纜來實現(xiàn)通信,也就無法用正常方式來實施監(jiān)控??祭裾J為只有一種解決方案可以解決這個問題"那就是必須建立虛擬機到虛擬機的流量可視化和控制"。
一個復雜的問題是虛擬數據中心中經常會出現(xiàn)職責的分離。服務器和運營團隊通常負責虛擬交換機的配置和管理。幾乎或者完全沒有綜合性的應用工具和安全控制。
對于網絡和安全團隊而言,這會導致實施配置審核可視性的缺失,進而虛擬化安全受到損害。就很難對拓撲和配置變化進行偵測,考利格強調會所"網絡和安全團隊必須掌控訪問層的一舉一動"。
考利格推薦了三種方式來實現(xiàn)這一目標:
1.硬件方式
硬件途徑會涉及迫使ESX主機之間的流量由入侵檢測系統(tǒng)加以審核??祭衩枋鲞@個系統(tǒng)的每個ESX托管都配置了獨一無二的出入虛擬本地局域網,配置了虛擬本地局域網的入侵檢測系統(tǒng)要配置每個入口虛擬本地局域網和出口虛擬本地局域網。
這樣能保證所有虛擬機到虛擬機的流量可以通過有線發(fā)送到入侵檢測系統(tǒng)進行審核,只有干凈的流量才能在每個入口/出口虛擬本地局域網之間進行通行。
2.完全虛擬化的方式
采用這種方式,每個ESX主機都配置了虛擬入侵檢測系統(tǒng)和防火墻,每個虛擬機配置的協(xié)議可以判斷什么流量應該被檢測。這種方式能保證所有被許可的內部虛擬機流量都能被檢測到,而且當虛擬機在物理主機之間遷移時,安全協(xié)議也會隨之一起遷移,不過不足之處是這種方式是影響數據中心安全架構的性能為代價的。
3.綜合方式
這是一種可以大幅度緩解完全虛擬化方式所導致的數據中心安全的折衷方式。這種方式是在每個虛擬機上運行虛擬轉向器,虛擬機配置了什么流量應該被改變方向-轉向物理入侵檢測系統(tǒng)的協(xié)議來進行檢測。
入侵檢測系統(tǒng)只允許通過檢測的干凈流量在虛擬機之間進行通行。