恶意虚拟机监控程序。颠覆性的虚拟机。动态迁移模仿者。欢迎来到服务器虚拟化的世界,在这里,威胁是新的,传统的安全工具,如防火墙和入侵预防系统已经不再适用。不幸的是,在许多企业,安全策略并没有跟上x.86服务器虚拟化的步伐。= nww_rss来源。Forrester分析师John Kindervag说:“许多已经拥有虚拟化环境的公司还没有考虑到他们所做事情的安全后果。”
恶意虚拟机监控程序。颠覆性的虚拟机。动态迁移模仿者。欢迎来到服务器虚拟化的世界,在这里,威胁是新的,传统的安全工具,如防火墙和入侵预防系统已经不再适用。
不幸的是,在许多企业中,安全策略没有跟上转移到X.86步伐服务器虚拟化。“有虚拟化环境中,许多公司都没有想到的,他们在做什么,但在安全后果,” Forrester的分析师John Kindervag说。
Gartner的麦克唐纳表示赞同。“相关的虚拟安全问题的普遍认识水平不相当,我们需要它,”他说。
就IT专业人士而言,他们倾向于这样看问题:由于物理服务器和虚拟服务器在同一硬件上运行相同的Linux和Windows操作系统,因此前者的安全性足以满足后者的需要。“他们会争辩说什么都没有改变——这是一个危险的错误,”麦克唐纳说。
“当你虚拟化,你介绍新的软件层和所有在上面运行Windows和Linux的工作负载,它依靠其完整性。你需要做的就是承认这个新的层,并建立基本的安全卫生第一和最重要的事情围绕它的配置和漏洞管理,”麦克唐纳说。“这是基本的滑轮。”
其次,它需要弄清楚如何处理虚拟化造成的网络盲点,他补充道。
的“无我基于网络的防火墙要么入侵防御系统在物理世界中可以看到在同一个盒子两个虚拟机(VM)之间的流量进行切换,“麦克唐纳说,”我们需要回答的问题是,“我们需要的虚拟服务器的内部安全控制,看看这个虚拟network traffic?’ Maybe you do or maybe you don't – but you've got to acknowledge that you can't see the traffic and if something bad happens, like an inter-VM attack, you won't be able to see it."
许多企业还没有专注于虚拟服务器的安全性,因为他们的虚拟化部署是不成熟的。当虚拟服务器仅用于测试和开发目的,或者用于运行非关键的、低优先级的应用程序时,安全性并不重要。
但是,变化一个虚拟化层移动到生产环境中主机的关键任务应用。更深层次的虚拟化盘踞变,就越需要部署相应的安全技术,专门针对保护虚拟基础架构。
觉醒到一个新的现实
“我们最初经历,我们认为人身安全会做的一个阶段。但是,当我们开始发展我们的虚拟化部署,我们觉得我们需要确保我们正在采取积极措施,以确保我们的客户信息,”帕特里克·奎因,营业员说副总裁兼网络管理员在托马斯顿储蓄银行,在康涅狄格州。
在此过程中,银行在虚拟环境中多,因为它会做物理基础设施建立安全网段。它使用Catbird网络vSecurity TrustZones虚拟安全技术,它允许不同信任级别共用一个主机的虚拟机。
TrustZones让奎因控制流量基于策略的虚拟机之间移动。例如,奎因说,他对每一个分支建立的信任区域,以及一些主办公室。
同样,室内卫生监督所,在Kelowna,不列颠哥伦比亚省区域卫生机构,希望能纳入一个虚拟服务器层到其整体安全架构克里斯Jmaeff,信息安全专家说。
“当然我们的目标之一是让虚拟化层内的知名度,” Jmaeff说。“我们已经得到了我们需要对我们的虚拟服务器世界或集群中使用虚拟传感器来监控流量某些地区。”
为了实现这一目标,内部健康是beta测试HP TippingPoint的安全虚拟框架,它可以让安全团队监测vSwitch上 - VMware的平台内的虚拟交换机 - 和VM的变化来识别篡改或安全控制的不能进行。
此外,HP TippingPoint的虚拟IP集成与反射系统vTrust虚拟安全技术。到卡特伯德的TrustZones类似,反射技术可以让用户创建可信任的网络段和执行策略,以及监控,过滤和控制虚拟机到虚拟机的流量。
“我们beta测试的目标是增加我们的知识,获得更多关于基础设施的洞察力和可见性,并对未来我们在安全方面要做的事情进行预参与和预规划。”这是一个学习和处于虚拟安全前沿的好机会,”Jmaeff说。
虚拟安全厂商一步,
卡特伯德和Reflex是,但两家公司都瞄准虚拟服务器的安全性。其他包括初创企业如Altor网络,Apani和HyTrust,以及完善的安全厂商。此外HP TippingPoint的,这后一组包括CA技术,对于安全功能,例如访问控制和日志管理;Check Point软件技术,为虚拟防火墙;Juniper网络公司,它与Altor的战略联盟;IBM,对于IPS;和Trend Micro,收购了虚拟安全启动第三大队。
“随着大公司的加入,这表明对这类产品的需求。他们都提供虚拟化的安全执行服务只是时间问题,”Gartner的麦克唐纳说。
用保护物理服务器的同样方法来保护虚拟机监控程序层似乎是合乎逻辑的——通过插入ip或杀毒软件。
但麦克唐纳不同意。“我们认为你不需要在系统管理程序中运行ip或反病毒副本。这将破坏这一层变薄变硬的目的。相反,在这一层,良好的配置、漏洞和补丁管理规程就足够了。
Forrester的Kindervag补充说,“他们说,大约在现代网络中的问题40%涉及到配置或其他类型的人为错误的。这使我相信,你是怎么做到安全管理[比管理程序的安全性]在这一刻更加重要,”他说。
MacDonald补充道:“供应商现在真正谈论的是保护虚拟机和它们之间的流量,就像保护物理环境中的工作负载一样。”当您开始在同一物理服务器上组合不同信任级别的虚拟工作负载时,这就变得尤为重要。你需要那种可见性、那种分离和那种政策执行力。”
在评估虚拟安全产品时,他建议,选择那些优化后可以在虚拟化环境中运行,并且已经集成到来自微软、VMware和基于xenon的虚拟化供应商的虚拟化框架中的产品。
虚拟化行业的领导者VMware通过VMsafe API为虚拟安全公司提供了虚拟机操作的可见性。
“大约有七家主要的安全供应商作为VMsafe的合作伙伴参与其中。他们已经开发了虚拟感知网络和终端解决方案,这些解决方案通过虚拟机监控程序以一种特权的方式工作,具有很高的安全性,”VMware服务器业务部门产品营销高级总监Venu Aravamudan说。
但这只是个开始,他补充道。今年早些时候,在2010年RSA大会上,VMware预览它是如何设想的下一代虚拟服务器安全技术可能会奏效。与趋势科技一起工作,这表明由VM作为当前一代产品做运行主机,而不是虚拟机上的防病毒处理的能力。
“一旦这项技术变成了现实,在运送产品方面,我们并没有在每个VM代理的需求。这意味着更好的性能,更低的管理,更低的成本等等,” Aravamudan说。
这也意味着新的功能。“你可以看看这个模型驱动解决方案,如能够检测虚拟机管理程序上运行的文件的rootkit,发现在虚拟机信用卡和其他敏感信息,并检查文件的完整性,例如,”他说。
常用的安全
Morgan Keegan的公司,全国最大的区域性投资公司之一,是少数几家公司与其虚拟安全态势相当舒服的一个。“我们没有任何安全问题在今天的方式,我们已经部署了虚拟环境中,”断言卢克麦克莱恩,与孟菲斯公司的系统工程师。
这是因为Morgan Keegan的安全了考虑从第一天它的虚拟化项目,于2008年3月推出,该公司已经拥有了虚拟化服务器基础架构的75% - 大约515虚拟机跨三个数据中心52台VMware ESX主机上运行 - 是雷竞技电脑网站部分归因于这个事实,麦克莱恩说。
一个特定的IT运营目标是崩溃了公司的传统防火墙的DMZ到虚拟环境中。“我们认为我们真的可以通过将这些物理机到虚拟环境中受益,并进行管理,同时还在这个保护的口袋留给他们,”帕克马布里,在Morgan Keegan的网络系统工程的常务董事说。
与信息安全组这需要严密的计划,这对相比,它知道自己的身体同行的虚拟防火墙 - 在它的情况下,思科防火墙。“他们比较功能特性,寻找喜欢的东西可靠日志记录,取证和深度,并锁定下机的粒度,”马布里说。
“我喜欢挑逗,通常我们从企业信息安全得到的第一反应是‘不’ - 就这么紧张,”他说。“所以,实际上得到的信息安全看能够在虚拟环境中使用虚拟防火墙的价值对我们来说是巨大的胜利。”
为了加强虚拟DMZ, Morgan Keegan使用了Reflex的vTrust安全产品。
从操作的角度来看,公司作保的虚拟机通过严格的认证,麦克莱恩补充说。随着VMware的vCenter虚拟化管理工具和管理界面,“我们非常认识到谁有权任何虚拟机和特别,尤其是饲养的是密切跟踪在DMZ环境,”他说。
VMware鼓励其合作伙伴和现场服务组织确保所有企业都将安全考虑到计划和设计中,就像Morgan Keegan所做的那样,Aravamudan说。
他说,虽然安全第一的鼓励并不总是对刚刚开始虚拟化之旅的客户或在有限的场景中使用该技术的客户有效,但大型企业确实能理解。
他补充道:“特别是那些在虚拟服务器上部署了大量工作流的客户,我们清楚地看到,在遵守我们的最佳实践和安全强化指南方面,有更多的规则。”
VMware的认为,就像支持虚拟化节约大量的成本和效率的提高,这是一个真正的游戏改变者,当涉及到安全,Aravamudan说。“这绝对是我们的目标之一 - 我们已经开始证明这一点 - 基于虚拟化的安全环境,为将优于物理安全性,因为它目前存在于IT。”
Gartner的麦克唐纳表示赞同。“我们清楚地看到的是,虚拟化不是本身不安全,而是它被不安全的今天展开,但是这个问题就会迎刃而解,在未来三到四年的IT员工,供应商,工具和技巧的成熟,”他说。“人们会被安全地部署 - 理想更安全 - 比他们已经在他们的物理环境。”
舒尔茨,网络世界的网络/系统管理警示的作者是芝有个足球雷竞技app加哥的资深IT作家和编辑。您可以在到达她bschultz5824@gmail.com。