虚拟化安全防护解决方案35.docx
《虚拟化安全防护解决方案35.docx》由会员分享,可在线阅读,更多相关《虚拟化安全防护解决方案35.docx(18页珍藏版)》请在冰豆网上搜索。
虚拟化安全防护解决方案35
虚拟化安全解决方案
趋势科技(中国)有限公司
2014年3月
一、重新思考服务器所面临的安全问题
1.1成为企业生产运行和业务运转的根本
随着信息化和互联网的深入,很难想象脱离了网络,现代企业如何才能进行正常运转。
而服务器所承载的企业核心数据,核心应用甚至企业的核心知识产权等等,让企业已经无法脱离服务器。
1.2企业应用改变带来的挑战
●Web应用:
80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。
●虚拟化应用:
出于资源利用,系统整合以及绿色IT的需要,虚拟化已经在企业内部有了大量的应用。
●私有云计算的应用企业对于计算能力,对于业务应用等需求,已经在公司网络内部建立的私有云计算系统。
以上这些应用给服务器的安全带来了更大的挑战,传统的安全措施已经不能满足现在IT系统,服务器系统的安全要求。
1.3受到不断变化新威胁攻击的挑战
从2000年至今,互联网的发展日新月异,新的引用层出不穷。
从Web1.0到Web2.0,从2G网络升级到3G网络。
互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。
随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,与此同时,信息技术的发展也带来了安全威胁的发展。
安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网,攻击公司网络,到现在整个互联网充斥着各种攻击威胁。
在目前的网络安全大环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。
为了确保企业的业务连续性,避免病毒对企业的数据,应用和网络带来威胁,必须对企业的安全系统进行结构化的完善,尤其在服务器的安全防护上,在过去的几年中,大部分企业都存在一定的不足。
1.4虚拟化环境的面临的新挑战
●虚拟机内部攻击
传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击。
虚拟机内的网络通信有虚拟交换机进行控制。
当同一主机上的虚拟机遭受恶意软件攻击时,网络中传统的IPS/IDS设备将可能检测不到异常情况。
●资源争夺
病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/O)负荷激增。
使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。
将导致虚拟机密度大量降低。
在单台主机上仅能运行5至15台虚拟机,而不是15至45台虚拟机。
这将严重影响任何虚拟化或云计算项目的投资收益率(ROI)
●管理的复杂性
在虚拟化环境中,很容易创建、修改、复制和移动虚拟机。
使用云计算、公共云或私有云之后,新的虚拟机能自动进行设置、重新配置,甚至自动移动。
这使得管理员在追踪、维护和实施一致性的安全策略时变得异常困难。
因此,有必要采取相应措施来应对此类动态数据中心。
●即时启动间隙
持之以恒的确保“即时启动”虚拟机的安全并不断的对其进行更新,这几乎是无法实现的。
处于休眠状态的虚拟机最终可能会严重偏离基准,以至于仅仅启动它们便会引入大量安全漏洞。
为了降低这种风险,必须提供一种解决方案在完全受保护的状态下配置和管理虚拟机,无论最后一次防病毒特征码或补丁更新何时发生,整个虚拟机系统都能一直处于安全状态。
另外虚拟化系统采用与物理系统相同的操作系统,包括企业级应用和web应用。
尽管某些漏洞能够被系统管理程序检测出,但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力。
虚拟化环境的动态特性面临入侵检测/防御系统(IDS/IPS)的新挑战。
由于虚拟机能够迅速地恢复到之前的状态,并且易于在物理服务器之间移动,所以难以获得并维持整体一致的安全性。
为了创建虚拟化安全的有效方法,用户应该采用与不断演化以保护物理IT资源相同的安全理论。
其中一个安全理论是“全面防御”,这是企业用户对于在其IT基础设施中出现的“网络边界去除”进行识别的基础安全需求。
行业最佳实践支持这种理论,而且诸如JerichoForum等组织也将其纳入其安全建议。
因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击,所以虚拟化已经使“网络边界去除”的挑战更加明显,以及对于领先的安全需求更加迫切。
安全的最佳实践至关重要。
论坛其它引导理论包括以下规则:
●防护的范围和等级应该针对于并适合出于风险中的资产。
●商业需要能够提高其灵活性和成本有效性的安全策略
●尽管边界防火墙会不断地提供基本的网络防护,但是个人系统和数据需要自我防护。
●通常,提供的防护离资产越接近,越容易保护该资产。
应用上述这些和其它虚拟化数据中心的安全理论,现在可以看到存在对于虚拟化安全方法的明确需求,即直接将安全机制部署在物理服务器上防护这些虚拟化系统,从而尽可能近地对资产进行防护。
1.5法律法规带来的要求
中国信息安全等级保护制度和C-SOX,以及国外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法规,从法律上也要求了企业在内部信息系统上,达到一定的安全等级和应用一定的安全策略。
二、虚拟化四大安全管理问题
1.虚拟机溢出导致安全问题蔓延
管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作“虚拟机溢出”。
如果虚拟机能够从所在管理程序的独立环境中脱离出来,入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对保护虚拟机而设计的安全控制系统。
虚拟世界的安全问题正在试图脱离虚拟机的控制范围。
尽管没有那家公司会允许安全问题通过管理程序技术的方式在虚拟主机间相互传播和蔓延,但这样的安全隐患还是存在的。
因为入侵者或者安全漏洞会在虚拟机之间来回捣乱,这将成为开发者在开发过程中的必须面对的问题。
现在技术工程师通常采用隔离虚拟机的方式来保障虚拟环境的安全性。
保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙。
他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。
这对于虚拟化环境来说是比较好的方法。
2.虚拟机成倍增长,补丁更新负担加重
虚拟机遇到的另外一个安全隐患是:
虚拟机修补面临更大的挑战,因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升。
IT管理人们也认同补丁在虚拟化环境中的关键性,但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题,而是量的问题。
虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。
目前,世界上有公司采取三种虚拟化环境--两个在网络内部,一个在隔离区(DMZ)上--大约有150台虚拟机。
但这样的布置就意味着管理程序额外增加了层来用于补丁管理。
但即便如此,还是无法改变不管物理机还是虚拟机上补丁的关键问题。
另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压力,他们开始越来越关注实现这一进程的自动化的工具的诞生。
3.在隔离区(DMZ)运行虚拟机
通常,许多IT管理人都不愿在隔离区(DMZ)上放置虚拟服务器。
其它的IT管理者们也不会在隔离区(DMZ)的虚拟机上运行关键性应用程序,甚至是对那些被公司防火墙保护的服务器也敬而远之。
在多数情况下,把资源分离出来是比较安全的方式。
这个时候,不管是隔离区还是非隔离区,都可以建立虚拟化环境。
就是采用在虚拟资源的集群中限制访问的办法。
每个集群都是自己的资源和入口,因此无法在集群之间来回串联,许多IT管理者们致力于将他们的虚拟服务器分隔开,将他们置于公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。
这样的虚拟化架构无非是考虑到安全的因素,显然传统做法已经影响了虚拟化架构的搭建。
4.管理程序技术的新特性容易受到黑客的攻击
任何新的操作系统都是会有漏洞和瑕疵的。
那这是否意味着黑客就有机可乘,发现虚拟操作系统的缺陷进而发动攻击呢?
工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕,他们存在潜在导致漏洞和安全隐患的可能性,安全维护人员只靠人工补丁修护是不够的。
虚拟化从本质上来说全新的操作系统,还有许多我们尚不了解的方面。
它会在优先硬件和使用环境之间相互影响,让情况一团糟的情况成为可能。
虚拟化管理程序并非是人们自己所想象的那种安全隐患。
根据对微软公司销售旺盛的补丁Windows操作系统的了解,象VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性.
三、传统方案处理虚拟化安全的问题
在广泛应用专门为VMwareVMsafeAPI定制的安全解决方案之前,通常采用两种初始方法和安全软件一起来保护虚拟机:
一种是在虚拟化计算环境中应用虚拟安全设备以监控虚拟交换机和访客虚拟机之间的通信流量。
尽管虚拟安全设备解决方案提供IDS/IPS防护以避免网络中的攻击,但是也存在较大的局限性:
●内部虚拟机通信流量----必须将虚拟安全设备放置在虚拟交换机的前面,即便如此,仍不能避免在同一虚拟交换机上虚拟机之间产生攻击,也无法整合安全设备来设置安全域。
●移动性----如果采用诸如VMwareVMotion™的控件将虚拟机从物理服务器之间进行传输,那就会丢失安全上下文。
有必要针对于每一个潜在目的配置虚拟安全设备集群,因为虚拟机有可能被重新定位至该目的,从而对于性能产生相应的负面影响。
●不透明度----因为必须改变虚拟网络体系结构以部署虚拟安全设备,这将对于现有系统的管理和性能产生不利影响。
●性能瓶颈----虚拟安全设备必须处理虚拟机和网络之间的全部通信流量,最终会出现性能瓶颈。
采用另一种方法,可以在每一虚拟机上部署相同的IDS/IPS功能
与虚拟安全设备方法不同的是,以虚拟机为中心的方法可以避免内部虚拟机通信流量、移动性和缺乏可见性等缺点。
尽管以虚拟机为中心的方法同时会对系统性能产生影响,但其分布式地跨接IT基础设施中虚拟机上。
然而,以虚拟机为中心的体系结构仍然要面对的挑战是在每一虚拟机上都部署一个IDS/IPS安全代理。
正如在其在线教程中VMware所指出,可以通过采用诸如模板的机制,即“使用模板”来部署通用的安全代理跨接每一虚拟机来消除这些不利因素。
然而,虚拟化环境的动态特性在没有安装安全代理的情况下,依然能够将虚拟机引入生产环境中,同时会消耗过多的物理机资源,降低虚拟机密度。
四、趋势科技无代理虚拟化安全解决方案
安全看门狗虚拟机(VM)
VMwareVMsafe程序使用户能够部署专用安全虚拟机以及经特别授权访问管理程序的API。
这使得创建独特的安全控制、安全看门狗虚拟机等成为可能,如在Gartner的报告中所述,在虚拟化的世界中从根本上改变安全和管理概念。
这种安全看门狗虚拟机是一种在虚拟环境中实现安全控制的新型方法。
安全看门狗功能利用自身API来访问关于每一虚拟机的特权状态信息,包括其内存、状态和网络通信流量等。
因为在不更改虚拟网络配置的情况下,服务器内部的全部网络通信流量是可见的,这样就可以消除用于IDS/IPS过滤的虚拟安全设备方法在内部虚拟机和非透明方面的局限性。
包括防病毒、加密、防火墙、IDS/IPS和系统完整性等在内的安全功能均可以应用于安全看门狗虚拟机中。
趋势科技保护虚拟化环境的灵活方法包括可以在单个虚拟机上进行部署的以虚拟机为中心的代理,以及用以保护多个虚拟机的安全看门狗虚拟机。
这种体系结构可以确保通过在关键IT资产,即虚拟机上部署软件而对其进行防护,同时可以由安全看门狗虚拟机来防护关键资产。
同时趋势科技保护虚拟化环境,可以将多个虚拟机进行分组形成安全域,在安全域内部虚拟机都接受独立的防护,已保护虚拟机之间的攻击。
又能形成安全域整体的安全策略,以保护域与域之间的访问安全。
3.
4.
4.1.趋势科技虚拟化安全防护——DeepSecurity
趋势科技针对虚拟环境提供全新的信息安全防护方案——DeepSecurity,通过访问控制、病毒防护、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系
升级会员 