【IT168 资讯】为了解虚拟化对数据中心安全的影响方式,您需要了解将一个纯物理基础架构转变为一个部分或全部虚拟化的基础架构时,将发生哪些变化。通过了解这些差异,并用核心信息安全原则加以对比,即能够找到虚拟化安全工作的重点。
引入新的管理层
与所有其他基础架构软件一样,虚拟化软件也需要对解决方案的组件进行管理的能力。这是通过管理界面实现的。管理界面将虚拟化主机、管理服务器、基于IP的存储和各种辅助服务(例如身份验证和监控)连接到一起。由于虚拟机和管理程序界面是彼此隔离的,因此在保护虚拟部署的过程中,最重要的一步就是为管理层和任何其他网络流量设计和实施严格的分离机制。这最大限度地降低了因虚拟机遭受攻击而使虚拟化层或任何其他虚拟机受到影响的可能性。
交换机和服务器组合为一台设备
借助VMware vSphere,您不但可以在单台主机上创建多个虚拟机,还可以创建虚拟网络。这是通过使用第2层软件虚拟交换机实现的,这种虚拟交换机具备各种企业级功能,如虚拟局域网和硬件网卡绑定等等,可以提供高可用性和高性能。虚拟网络连接带来了巨大的灵活性和成本节约。您既可以创建一个具有任意端口的交换机,也可以创建大量交换机。但是,虚拟网络连接会从几个方面影响安全性:
缺乏服务器内部网络可见性:基于网络的传统安全工具依赖于对遍历各台物理交换机的流量进行访问,这通常是通过硬件设备实现的。如果交换机是虚拟的,就必须采用新的解决方案来访问虚拟网络流量,例如通过在虚拟设备中运行这些解决方案。
不存在默认分离的管理方式:在大型企业的非虚拟基础架构中,服务器团队与网络团队是分开的,而网络团队又与安全团队各自为政。在使用虚拟化时,只需要单个管理界面就能控制虚拟机和虚拟网络,而且必须通过合理定义角色和权限来重新引入分离机制。
提高了错误配置的风险:事实上,一台主机上可能会有多台虚拟交换机,这代表着一项重大的改变。现在,您无需将实际的网线从一台交换机上拔下,插到另一台交换机,而是可以在一个简单的下拉菜单中切换虚拟机的虚拟交换机。这种灵活的过程带来巨大的效益,但也提高了错误配置的风险。必须通过一些熟悉的技巧来降低这种风险,这些技巧包括强有力的更改控制以及详尽的日志和事件监控等等。
除了具备虚拟交换机的优势之外,虚拟化还可为您提供应用程序或服务拓扑的全貌信息。这就为端到端的全程服务查看工具打开了一道大门,可以更容易地进行监控和管理。在物理环境中,这种控制能力并不总能实现,有时它会因依赖于固定在某一位置的所有组件而毫无灵活性可言。
易于实现硬件整合
快速部署虚拟机的能力使IT响应速度达到了前所未有的水平。但这还意味着,很快就会发生具有未知配置的系统剧增的现象。这对于包含成百上千个虚拟机的大型环境可能是十分严重的问题。您可以通过将以下活动设置为自动执行来加以避免:
跟踪主机、虚拟机和其他VMware Infrastructure对象(例如集群、资源池、文件夹等等)的配置。
定期审核事件日志,以找出可疑或意外的活动。
管理虚拟机的生命周期,建立一套经批准的流程,以更好地进行IT管理。
其他问题
虚拟机移动性:虚拟机的移动性极大提升了服务级别。借助VMotion,您可以将需要较多资源的虚拟机移到负载较低的服务器上;而VMware DRS则可自动执行这一负载平衡过程。但是,目前大多数安全方法假定服务器是固定在某一位置的。例如,一些基于网络的安全装置在检查状态封包时,只会查看特定服务器上某一特定端口的流量。在使用虚拟机时,由于它们会在不同物理服务器之间迁移,上述模型会被打破。这样就必须采用与这一模式兼容的新型解决方案。
虚拟机封装:因为虚拟机封装在若干文件中,因此制作虚拟机的副本变得非常容易。这使标准化成为可能,而且大大降低了实现高可用性和灾难恢复的难度。但是,许多安全工具(例如防病毒工具和补丁程序管理工具)都要求,必须使服务器正常运行才能向其递送更新内容,因此,对于目前关闭但未来可能重新联机的虚拟机而言,这种方法并不奏效。新的方法可以解决这一问题,例如利用VMware vCenter Update Manager离线安装补丁程序;未来还可以使用基于VMsafe的主机保护,无需任何基于主机的代理。