移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

手艺指南:若何呵护数据中间虚拟化安然

时间:2014-02-07 09:55来源:TuZhiJiaMi企业信息安全专家 点击:
虽然办事器虚拟化手艺以爆炸式速度囊括全球的数据中间,但保护虚拟环境安然的手艺却严重滞后。据附属惠普公司的收集安然解决方案供给商TippingPoint的产品线治理总监詹姆斯.考利格的说法
Tags数据安全(840)数据中心(66)虚拟化安全(9)  

  虽然办事器虚拟化手艺以爆炸式速度囊括全球的数据中间,但保护虚拟环境安然的手艺却严重滞后。据附属惠普公司的收集安然解决方案供给商TippingPoint的产品线治理总监詹姆斯.考利格的说法,这个事实可能会让某些摆设了虚拟化的企业为办事器安然标题问题而头疼不已。考利格在本年初插手伦敦进行的信息化安然欧洲2010峰会时表达了这番不雅点。

  按照Gartner咨询公司的数据统计:从某方面来讲,2009年下半年起码有16%的企业级工作负载是在虚拟办事器上运行的,可是这个比例到了2012年有看增加到50%--即以X86为根本的虚拟机将达到大年夜概5800万个。可是Gartner咨询公司也猜想称,这些虚拟办事器中大年夜约有60%的安然性要逊于他们所代替的物理办事器。

  Forrester研究公司也指出,采取虚拟化治理法度软件的企业中有98%正在利用VMware虚拟化手艺。这意味着假定VMware软件被发现存在零日缝隙的话,黑客可能会经由过程诸如电子邮件,收集或域名办事器等各类路子来策动报复打击。

  虚拟办事器的安然性为甚么就不如他们所代替的物理办事器呢?考利格所提到的某些导致办事器安然级别较低的启事包含:

  *良多办事器虚拟化项目实施之初就未将安然标题问题考虑在内

  *所有的虚拟工作负载存在虚拟软件遭到安然威胁的可能

  *不合信赖级别的虚拟工作负载凡是被整合在单个物理主机上,没有进行足够的隔离

  *良多企业对治理法度/虚拟机监管层治理拜候的足够节制和治理东西

  这些对虚拟环境的实际威胁以治理法度为中间可以划分为几个类别:

  黑客报复打击:这会触及对治理法度的干扰或插进地痞治理法度。因为治理法度是在措置器专属级别上运行的,因为治理法度上运行的任何把持系统都很难乃至不成能侦测到这些威胁。从理论上来讲,节制了治理法度的黑客会节制任安在物理办事器上运行的虚拟机。

  虚拟机溢出:会导致虚拟机溢出的缝隙会承诺黑客威胁到特定的虚拟机,将黑客报复打击从虚拟办事器进级到节制底层的治理法度。

  虚拟机跳跃:与虚拟化溢出近似,虚拟机跳跃会承诺报复打击从一个虚拟机转而往威胁在统一个物理硬件上运行的其他虚拟办事器。

  虚拟机被盗:这是一种用电子编制盗取虚拟机文件然后周围传播和运行的能力。是一种相当于盗取了完全的物理办事器的报复打击,并且无需进进安然的数据中间和移除计较设备。

  所有这些威胁编制是当企业摆设虚拟环境时,他们利用了一种全新的关头任务元素:治理法度。因为对治理法度的成功报复打击会导致对所有托管的工作负载都造成威胁--而对个别虚拟工作负载的成功报复打击也会对治理法度造成威胁,是以企业的治理法度应当被认定为关头任务软件并进行恰当的安然防护,考利格夸大年夜说。

  在传统的IT环境中,收集流量可利用一系列办事器安然防护系统来侦测歹意行动以实现监控,查抄和过滤。可是虚拟环境的标题问题是经由过程虚拟交互及运行的虚拟机之间的通信很大年夜一部门是无形的:它不是经由过程有线电缆来实现通信,也就没法用正常编制来实施监控。考利格觉得只有一种解决方案可以解决这个标题问题"那就是必需成立虚拟机到虚拟机的流量可视化和节制"。

  一个复杂的标题问题是虚拟数据中间中常常会呈现职责的分手。办事器和运营团队凡是负责虚拟互换机的建设和治理。几近或完全没有综合性的利用东西和安然节制。对收集和安然团队而言,这会导致实施建设审核可视性的缺掉,就很难对拓扑和建设改变进行侦测,考利格夸大年夜会所"收集和安然团队必需掌控拜候层的一举一动"。

  考利格保举了三种编制来实现这一方针:

  1.硬件编制

  硬件路子会触及迫使ESX主机之间的流量由进侵检测系统加以审核。考利格描述这个系统的每个ESX托管都建设了独一无二的出进虚拟本地局域网,建设了虚拟本地局域网的进侵检测系统要建设每个进口虚拟本地局域网和出口虚拟本地局域网。如许能包管所有虚拟机到虚拟机的流量可以经由过程有线发送到进侵检测系统进行审核,只有洁净的流量才能在每个进口/出口虚拟本地局域网之间进行通行。这类编制的不足的地方就是在多个数据中间和灾害恢复站点进行复制的成本太高。

  2.完全虚拟化的编制

  采取这类编制,每个ESX主机都建设了虚拟进侵检测系统和防火墙,每个虚拟机建设的和谈可以鉴定甚么流量应当被检测。这类编制能包管所有被许可的内部虚拟机流量都能被检测到,并且当虚拟机在物理主机之间迁徙时,安然和谈也会随之一路迁徙,不外不足的地方是这类编制是影响系统架构的机能为代价的。

  3.综合编制

  这是一种可以大年夜幅度减缓完全虚拟化编制而至使的虚拟受损的折中编制。这类编制是在每个虚拟机上运行虚拟转向器,虚拟机建设了甚么流量应当被改变标的目标-转向物理进侵检测系统的和谈来进行检测。进侵检测系统只承诺经由过程检测的洁净流量在虚拟机之间进行通行。

  是以甚么是最好编制?考利格暗示甚么是合适企业用户的最好编制要取决于企业本身的方针和预算和面对风险的立场。某些成功的解决方案可能会触及这些三种编制中此中两种编制的连络利用。

  考利格暗示,好动静是跟着安然公司研发出能供给必备功能的更多产品,构建和实施这些解决方案可能在不久的将来将变得加倍等闲。

------分隔线----------------------------

推荐内容