存儲虛擬化技術(shù)已經(jīng)在市場上殺出了一片天地。當(dāng)然我們還是需要不斷的學(xué)習(xí)。關(guān)于存儲虛擬化技術(shù)的安全性,在真實(shí)世界中唯一出現(xiàn)的主要供應(yīng)商的脆弱性報告是微軟的升級漏洞,而這是有關(guān)Xbox 360中運(yùn)行的嵌入hypervisor,在Hyper-V或Virtual PC中沒有發(fā)現(xiàn)漏洞。
無論如何,存儲虛擬化技術(shù)已經(jīng)成為主流,在過去幾年中虛擬機(jī)大量占據(jù)了數(shù)據(jù)中心,IT安全專家們在不斷重復(fù)著hypervisor如果受侵會帶來的可怕后果。黑帽大會在繼續(xù)討論潛在的風(fēng)險和漏洞。Gartner預(yù)計去年年底hypervisor就會出現(xiàn)需要修補(bǔ)的大漏洞,很高興他們沒有預(yù)測對。
但現(xiàn)實(shí)情況是,虛擬化是簡單的軟件問題。它本質(zhì)上還是軟件,無論怎樣嚴(yán)格書寫,效率有多高,在代碼和設(shè)計上總會出現(xiàn)缺陷,并且會越來越多,這和任何復(fù)雜的,廣泛流行的應(yīng)用程序都是一樣的。
因此,什么才是最可能出現(xiàn)的威脅?虛擬服務(wù)器只是服務(wù)器。存儲虛擬化技術(shù)的硬件抽象和靈活性讓你能夠更容易地進(jìn)行創(chuàng)建、部署和安排,同時也更容易出現(xiàn)問題甚至丟失。在虛擬世界,你的最大威脅不是揮舞著BIOS病毒或者想方設(shè)法控制主機(jī)的壞人。相反,最薄弱的環(huán)節(jié)可能是你自己,如果你缺乏規(guī)劃,不知道怎樣照顧、維護(hù)和管理狂野的虛擬農(nóng)場。
存儲虛擬化技術(shù)搭建常規(guī)防御
無論是小型還是大型的虛擬商店都有一個長長的安全問題清單。你應(yīng)該關(guān)注潛在的漏洞,避免客戶虛擬機(jī)威脅到主機(jī)或hypervisor,信息安全咨詢公司Neohapsis的CTO Greg Shipley說,但你應(yīng)該更關(guān)心沒打補(bǔ)丁的客戶虛擬機(jī),防止它們遺忘在測試主機(jī),或者由于不完善的現(xiàn)場遷移規(guī)則在主機(jī)間穿梭。
每個人都可以從基本的風(fēng)險管理思想中受益,Shipley說。大多數(shù)企業(yè)都有基本的安全設(shè)計和底層架構(gòu),用來搭建物理和虛擬環(huán)境。雖然是老生常談,但從總體上解決安全問題比任何單一用途的虛擬機(jī)工具都更有效。也可以說,先把你的物理環(huán)境搭建好,然后才能談到虛擬機(jī)的安全問題。
傳統(tǒng)的自動修補(bǔ)策略不考慮離線服務(wù)器。在物理世界中,一個斷了電的服務(wù)器是無法工作的。但在虛擬世界,暫停或存檔的服務(wù)器可以通過虛擬化補(bǔ)丁管理工具進(jìn)行更新。虛擬機(jī)模板和基準(zhǔn)鏡像必須保證維護(hù)和修補(bǔ),當(dāng)然我們也不妨從原始的物理機(jī)安全防御體系中吸取營養(yǎng)。
存儲虛擬化技術(shù)將單點(diǎn)故障降到最低
在過去,你可以靠傳統(tǒng)的一臺服務(wù)器一個盒子的模型合理的避開風(fēng)險和硬件故障。但在虛擬世界里,隨著每臺主機(jī)上的客戶機(jī)越來越多,風(fēng)險也越來越大。因此,在試圖通過整合來節(jié)省資金的同時,也必須準(zhǔn)備好以防萬一的計劃。
基本的設(shè)計方案應(yīng)該包括至少三臺主機(jī),提供現(xiàn)場遷移選擇,增強(qiáng)高峰性能,以及保證硬件升級、維護(hù)和打補(bǔ)丁的靈活性,確保不出現(xiàn)生產(chǎn)中斷。幾乎所有的存儲虛擬化技術(shù)供應(yīng)商都已經(jīng)增加了入門級的功能,但獲得真正高可用性的唯一方法也只有支付更高的許可費(fèi),你需要從虛擬化節(jié)約的成本中劃出這部分費(fèi)用。
在軟件支持上,Citrix的XenServer提供免費(fèi)的XenMotion,具有高可用性功能。微軟承諾Hyper-V今年晚些時候也會具有現(xiàn)場遷移能力。VMware的vSphere Essentials Plus針對小企業(yè)提供三臺服務(wù)器的集中管理,具有高可用性,而更進(jìn)一步的vSphere Advanced擁有普遍用途的vMotion,性能更加出眾。
存儲虛擬化技術(shù)檢查物理主機(jī)內(nèi)部
當(dāng)被入侵的客戶服務(wù)器開始傳染其他服務(wù)器時,就會發(fā)生“混合威脅”。傳統(tǒng)的安全工具可以在物理堆棧檢測到異常行為,并發(fā)出警報。但是,由于存儲虛擬化技術(shù)網(wǎng)絡(luò)的通信方式設(shè)計在一臺單一的物理主機(jī)里,黑客可能利用被入侵的虛擬機(jī)攻擊同一臺主機(jī)上的其他虛擬機(jī)。這樣傳統(tǒng)的通過網(wǎng)線的監(jiān)測系統(tǒng)是不能發(fā)出警報的。
一些供應(yīng)商開發(fā)了虛擬安全設(shè)備來對付這種陰暗的行為,尋找不經(jīng)過物理網(wǎng)線的虛擬網(wǎng)絡(luò)流量,并提供虛擬防火墻和入侵檢測和預(yù)防。VMware在其VMsafe旗下有很多合作伙伴,提供特有的安全API,目的是使虛擬機(jī)的可見度能夠類似于我們已經(jīng)習(xí)慣的傳統(tǒng)物理IP安全方式。
存儲虛擬化技術(shù)加強(qiáng)控制
所有的主要供應(yīng)商和少數(shù)第三方供應(yīng)商提供了集中式的虛擬農(nóng)場管理工具。管理員可以從單獨(dú)的控制臺控制和查看每一個虛擬機(jī),這些工具是跨平臺的,從而能夠控制不同結(jié)構(gòu)的環(huán)境。但是,這些控制臺也存在著管理權(quán)限和角色的沖突。在過去,大企業(yè)可以依靠物理手段來進(jìn)行訪問限制,控制誰可以碰到某一臺特定的服務(wù)器。而存儲虛擬化技術(shù)移除了那些墻壁,基于網(wǎng)絡(luò)的控制臺可以讓任何人坐在辦公桌前操縱虛擬農(nóng)場。
虛擬機(jī)的管理和服務(wù)器管理員的職責(zé)應(yīng)當(dāng)明確界定。處理敏感的醫(yī)療、金融或其他重要隱秘數(shù)據(jù)的服務(wù)器必須明確區(qū)別開。對所有虛擬設(shè)備、控制臺和CLI管理應(yīng)進(jìn)行周密的考慮,IP接入規(guī)則和網(wǎng)絡(luò)管理條例也必須明確界定。
存儲虛擬化技術(shù)避免交叉對話
除了對主機(jī)網(wǎng)絡(luò)的管理,對虛擬機(jī)遷移渠道的控制也應(yīng)成為你主要考慮的問題,這關(guān)系到網(wǎng)絡(luò)的性能和安全性。無論是vMotion還是XenMotion都擁有在兩臺主機(jī)之間現(xiàn)場遷移虛擬機(jī)的良好能力。數(shù)據(jù)傳輸應(yīng)該發(fā)生在類似于iSCSI SAN的私有安全網(wǎng)絡(luò)結(jié)構(gòu)上。為現(xiàn)場遷移而設(shè)置專門的網(wǎng)絡(luò)分段在所有虛擬主機(jī)平臺上都應(yīng)該是理所當(dāng)然的工作。
關(guān)于存儲虛擬化技術(shù)安全市場上的眾多新產(chǎn)品,Neohapsis公司的Shipley說,他沒有看到任何值得花錢的東西。大多數(shù)企業(yè)“應(yīng)該把建立虛擬環(huán)境下的標(biāo)準(zhǔn)操作流程放在第一位,”他說,“太多的企業(yè)缺乏基本的管理、漏洞和補(bǔ)丁管理工具。”
把基本的東西做到位之后,在虛擬機(jī)防火墻或主機(jī)內(nèi)部的虛擬安全設(shè)備上繼續(xù)投資才會變得有意義。