美國新墨西哥州公共事業(yè)部門有160臺Dell服務(wù)器,當(dāng)其中的80%虛擬化后,IT部門認(rèn)識到他們不再需要依靠實體分隔技術(shù)來保證每臺服務(wù)器的安全性了。實體分隔技術(shù)只能限制數(shù)據(jù)中心內(nèi)虛擬機(VM)的遷移,會減少虛擬化帶來的便利。帶來的其他困擾還包括現(xiàn)有的網(wǎng)絡(luò)防火墻與入侵監(jiān)測或防御系統(tǒng)(IDS/IPS)無法與虛擬設(shè)置兼容。
所以該部門的系統(tǒng)管理處總管理員Gurusimran Khalsa開始尋找一種能夠?qū)崿F(xiàn)集中訪問控制的虛擬化安全規(guī)劃,在虛擬化設(shè)置內(nèi)登錄以及進(jìn)行防火墻管理。他還部署了一種將基于網(wǎng)絡(luò)的策略管理的HyTrust設(shè)備與Altor Networks的虛擬防火墻登錄結(jié)合的策略。并對TechTarget編輯Rivka大致講述了其經(jīng)驗。
記者:在數(shù)據(jù)中心內(nèi)部實施虛擬化,您想要達(dá)到什么樣的目標(biāo)?
Gurusimran Khalsa:從根本上來說,我們想要的就是虛擬化所能帶來的傳統(tǒng)意義上的利益,比如縮減成本,系統(tǒng)融合,管理的便捷性等,還包括一些如vMotion、快照、備份或者復(fù)制的便利,我們希望能夠?qū)崿F(xiàn)所有這些好處。
但其中的挑戰(zhàn)之一就是安全性。我們曾創(chuàng)造過一個環(huán)境,用于生產(chǎn)、測試和部署我們的一個公共Web應(yīng)用程序,同時也用了完全的實體分隔技術(shù)。在我們的系統(tǒng)中,有些分離的網(wǎng)絡(luò)交換機,有部分VLAN-ing,但是從大的方面來看,整個環(huán)境在物理層面上還是分離的。所以進(jìn)入或離開這個環(huán)境的唯一方法就是使用RSA SecurID結(jié)束終端服務(wù)器。
記者:以上您所說的Web應(yīng)用程序是指哪些?
Khalsa:就是標(biāo)準(zhǔn)的Web應(yīng)用程序。比如.NET、IIS或者是SQL后端。之所以需要如此高安全水準(zhǔn)的部分原因是在虛擬環(huán)境部署后不到一年的時間,就出現(xiàn)了針對這些應(yīng)用程序的安全漏洞。雖然我們對虛擬化非常感興趣,但是在虛擬環(huán)境中,如何維持一個高級別的安全性還是挺讓我們擔(dān)憂的。我們不得不考慮一種方法,它既能得到實體分隔技術(shù)帶來的好處又能獲得虛擬化帶來的便利。
記者:除了分離技術(shù)問題外,安全性方面還有其他的難點嗎?
Khalsa:在一部分人看來,大的融合會帶來大的風(fēng)險。所以,如果你有一個中樞管理點,并且只要有一點疏漏就很可能會損害整個系統(tǒng)環(huán)境。
值得一提的是,虛擬化與工作人員日常處理的事務(wù)有很大的差別。這和近期IT領(lǐng)域中的現(xiàn)象也是一致的,而對于確保安全性,結(jié)構(gòu)化和組織化的最佳答案還沒有明確的答復(fù)。
記者:你是如何克服這些困難的?
Khalsa:當(dāng)我獲得的虛擬化方面的信息越多,我越是認(rèn)識到在虛擬環(huán)境中你不能使用相同的實體分隔技術(shù),獲得虛擬化帶來的便利。如果你有一個進(jìn)行了實體分隔的環(huán)境,并想對這些設(shè)備做虛擬化,那你需要把這些目標(biāo)設(shè)備都放在一個ESX主機中,并用分離的物理NIC(網(wǎng)絡(luò)接口卡)和分離的虛擬交換機進(jìn)行分割,仍有數(shù)據(jù)穿過的公共點,但這并不意味著一定就是安全隱患。
我們并不希望沿著分離物理主機的方法來處理所有的事情,因為你所面對的環(huán)境相比于你試圖替換的環(huán)境更復(fù)雜,服務(wù)器數(shù)量眾多。所以我們正在探索一條在替換實體分隔時又能夠交付完美安全性能環(huán)境的全新道路。
美國新墨西哥州公共事業(yè)部門有160臺Dell服務(wù)器,當(dāng)其中的80%虛擬化后,IT部門認(rèn)識到他們不再需要依靠實體分隔技術(shù)來保證每臺服務(wù)器的安全性了。實體分隔技術(shù)只能限制數(shù)據(jù)中心內(nèi)虛擬機(VM)的遷移,會減少虛擬化帶來的便利。帶來的其他困擾還包括現(xiàn)有的網(wǎng)絡(luò)防火墻與入侵監(jiān)測或防御系統(tǒng)(IDS/IPS)無法與虛擬設(shè)置兼容。
所以該部門的系統(tǒng)管理處總管理員Gurusimran Khalsa開始尋找一種能夠?qū)崿F(xiàn)集中訪問控制的虛擬化安全規(guī)劃,在虛擬化設(shè)置內(nèi)登錄以及進(jìn)行防火墻管理。他還部署了一種將基于網(wǎng)絡(luò)的策略管理的HyTrust設(shè)備與Altor Networks虛擬防火墻登錄結(jié)合的策略。
記者:對安全產(chǎn)品的考量是基于何種考慮?
Khalsa:在虛擬環(huán)境中,我深知我們需要一些防火墻而不是依賴于物理防火墻。并且我們也非常需要有一些可為虛擬環(huán)境交付更高安全水準(zhǔn)的產(chǎn)品。同時,之前我也說過整合范圍越風(fēng)險越大,所以虛擬環(huán)境中部署實施較高級別安全性能的想法就越發(fā)的重要。值得一提的是,從安全觀點出發(fā),其準(zhǔn)則的數(shù)量簡直就是數(shù)不勝數(shù),像一個良好的記錄機制,它可以記錄并整理你系統(tǒng)中發(fā)生的變更以及所有事件。
記者:您最終選擇了HyTrust和Altor的產(chǎn)品,請問您的理由是什么?
Khalsa: HyTrust的主要優(yōu)點之一就是其為環(huán)境交付的單式記賬點可達(dá)到非常高的安全水準(zhǔn)。所以我們利用Active Directory進(jìn)行驗證,以及RSA SecurID,使用HyTrust實現(xiàn)對系統(tǒng)環(huán)境的訪問。
除此之外,我們選擇HyTrust的另一個原因就是考慮到了整合和記錄。我們有能力去了解滿足某些標(biāo)準(zhǔn)的配置,以及驗證對這些標(biāo)準(zhǔn)的滿足,然后監(jiān)測它是否有所更改。這就為我們提供了良好的可視性能,系統(tǒng)環(huán)境在特定時間內(nèi)的所有狀況也都盡收眼底。
我們還用了Altor的產(chǎn)品套件,也就是其虛擬防火墻。我們使用了物理防火墻來對虛擬環(huán)境的外部做保護(hù),然后使用Altor來提供系統(tǒng)環(huán)境的安全性能。Altor利用了VMwarev Safe APIs,可以在VM的虛擬NIC和虛擬交換機之間進(jìn)行自我嵌入。這種方法可以觀測到所有流入流出VM的網(wǎng)絡(luò)流量,并可以在同一級別內(nèi)部署防火墻,這在一個物理環(huán)境中來說是不可能的。除了防火墻,Altor套件提供了通常的虛擬環(huán)境中無法實現(xiàn)的一些性能,如入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)以及記錄和流量監(jiān)控等。
記者:這種策略會比實體分隔中的安全性能更勝一籌嗎?
Khalsa:雖然它不能提供相同的實體分隔,但是同時使用兩種產(chǎn)品所獲得的安全性能比單獨使用一個所獲得的安全性能級別更高,或者至少與在實體分隔技術(shù)中所獲得的是等量的。另一個好處就是,你做這些變更付出的代價與你得到的好處相比,那簡直就是微乎其微。
記者:接下來的處理方法是什么?隨著虛擬環(huán)境的不斷發(fā)展,您將如何沿襲您的安全性路線?
Khalsa:在我看來未來的發(fā)展中還有一些像反病毒掃描這樣的挑戰(zhàn)。目前我們所有的服務(wù)器中都配有標(biāo)準(zhǔn)的反病毒程序,為了保證主機不負(fù)荷過多,我們必須保證所有的掃描都是交錯進(jìn)行的,這更多的是一個管理方面的措施。
記者:您是如何把所有技術(shù)都集成到現(xiàn)有的以網(wǎng)絡(luò)為基礎(chǔ)的安全設(shè)備當(dāng)中的?
Khalsa:以前我們的網(wǎng)絡(luò)部門管理著IDS以及Juniper防火墻,但是這之間卻并沒有任何交集,而且我們也不能使用任何與集中式管理相關(guān)的產(chǎn)品。我所能找到的就是在虛擬化環(huán)境中可用的工具,通過工具得到更多合并視圖的能力,并且在大多數(shù)程度上,這種管理界面所涉及到的虛擬化知識也并不是很多。我可以為大家介紹Altor防火墻中的IDS區(qū)域,它與任何IDS的工作原理都是一樣的。Altor在整合自己的防火墻產(chǎn)品與Juniper的時相當(dāng)協(xié)調(diào),所以下一代產(chǎn)品的發(fā)展方向就是能夠在Juniper的安全管理產(chǎn)品上實現(xiàn)管理和檢測功能。
記者:所以這個規(guī)劃的最終目的就是在虛擬化環(huán)境中整合網(wǎng)絡(luò)安全產(chǎn)品的管理?
Khalsa:這是我們最理想的結(jié)果了。我經(jīng)常對我的員工說,不要把VM想的與其他任何產(chǎn)品不同。從管理的角度來看,這也是我們的目標(biāo)。不管是虛擬環(huán)境還是物理環(huán)境,你都不需要對管理工具做任何區(qū)分,只要在虛擬和物理環(huán)境的邊界處進(jìn)行安全管理就可以了。