从表面上看,围绕虚拟服务器的安全问题与运行它们的物理机器相比,似乎没有什么不同。实际上,通过记住您在物理世界中已经学到的知识来启动虚拟安全审计是一种很好的方法。安全分析人士说,对于一组虚拟服务器和任何物理服务器场来说,相同的做法、原则和基本常识都适用。但是,由于虚拟世界的独特特性,IT管理人员还需要考虑一些额外的因素。
一个例子是:使用虚拟机可以更快地部署软件,典型的配置过程中的一些步骤可能已经被消除了,Paul Love说,他是at的信息安全主管标准的保险在俄勒冈州波特兰市,这反过来又要求IT部门确保必要的控制和监督到位,同时铭记缩短的时间框架。
“对于虚拟机,关注系统的实际配置非常有帮助,”Love说。“你需要真正有一个稳定的构建,这样当你部署1000个版本的it时,它们都能满足管理层对控制措施的要求。”
Love说,当Love的团队为其虚拟服务器环境进行安全审计时,它并没有引入更多的新步骤,而是扩展了物理服务器已有的步骤。这包括查看系统之间的交互,并确保运行虚拟机的操作系统是安全的,不会出现“配置漂移”。
“我们必须与变革管理密切合作,”洛夫说。
作为审计和改进虚拟安全性的背景研究,您可能需要查阅来自互联网安全中心,国防信息系统局和虚拟服务器领导者VMware。
“他们(IT领导)需要阅读这些指南,并根据他们的环境定制一套锁定和强化策略的摘要,”at的产品管理和营销高级总监Nand Mulchandani说VMware。“如果你只做一件事,你将会更加安全和安全。”
虚拟安全工具也有帮助,但分析师警告客户在购买专门为虚拟服务器设计的新产品之前,首先要考虑他们已经使用的产品。IDC (CXO media的姊妹公司)的分析师Chris Christiansen说,现在已经有10到15家厂商提供针对vm的安全工具,到年底这个数字可能会上升到30家。
在保护虚拟服务器环境时,考虑以下五步检查表:
1.进行全面的风险评估,以了解资源是如何分离和汇总的。
“不要忘记你在风险管理和配置方面所学到的知识,”分析师Pete Lindstrom建议道伯顿集团。“没有太大的变化,除了考虑到一个物理主机有一个完整的网络段在里面的概念有点令人吃惊。这意味着您需要评估虚拟机本身的配置。按照与其他配置审计相同的方法来执行。”
2.验证创建、部署、管理和更改虚拟机的过程。
这在现在尤为重要,因为不再需要购买硬件、加载操作系统、测试和安排机架空间等步骤约翰·佩斯卡托雷他是Gartner的分析师。
“虚拟机不一定属于组织中的某个群体,这一点非常重要,”Standard Insurance的Love补充道。“从安全的角度来看,它有助于与系统管理人员和网络组进行对话,以了解虚拟环境中正在发生的变化。”
他举了一个潜在问题的例子,补充道:“你可以在运行扫描之前让一台虚拟机脱机。”
3.安全地配置虚拟化层并保持更新补丁。
“阅读强化指南作为开发基线的起点,然后根据基线进行审计,以确保虚拟化层的安全性不会漂移,”建议说尼尔·麦克唐纳他是Gartner的分析师。来自供应商的工具,如Configuresoft和Tripwire可以帮助配置,麦克唐纳说。
4.保护虚拟服务器中的内部虚拟交换机。权衡是否需要额外的控制,如虚拟防火墙或虚拟入侵保护系统。
Lindstrom说:“你必须注意你的虚拟机是如何与彼此以及外部世界进行通信的,这意味着通过物理机器上的虚拟交换机基础设施进行通信。”“你必须注意那些交换机的配置,流量的移动,以及从VM到VM、从VM到外部设备对流量的可访问性。”
5.严格控制对服务控制台和管理工具的访问
您需要仔细地控制对控制台和工具(如VMware的VMotion和Virtual Center)以及其他环境中类似工具的访问。最佳实践要求管理工具在单独的网络上运行。
VMware的Mulchandani说:“这将确保虚拟机不会窥探你的管理控制台与控制它们的服务器之间的流量。”“这几乎就像窃听别人的手机一样。”
MacDonald说:“虚拟世界中的大多数安全问题都是由管理不善、管理不当或简单的旧错误引起的。”“我们在现实世界中使用的工具与在虚拟世界中不同,这一事实加剧了这个问题。”
有关虚拟化环境中可能隐藏的安全风险的进一步检查,请参见如何找到并修复10个真实的安全威胁您的虚拟服务器。
这篇文章“审计和改进虚拟服务器安全性的5个技巧”最初是由首席信息官 。