當數(shù)據(jù)中心越來越虛擬化時 保護工作怎么做?
隨著企業(yè)越來越多地投資于虛擬化技術(shù),安全專業(yè)人士都在試圖管理這些環(huán)境中的安全性。
很多公司不得不面對的現(xiàn)實是:虛擬環(huán)境內(nèi)的安全性并沒有達到傳統(tǒng)物理網(wǎng)絡(luò)和系統(tǒng)的標準。
為什么企業(yè)安全團隊遲遲沒有部署必要的政策和流程來安全地管理虛擬化平臺呢?有時候,這是因為不成熟技術(shù)(例如端點安全)不能很好地應(yīng)用在虛擬數(shù)據(jù)中心。在其他情況下,安全團隊可能不知道“他們不知道什么”,或者在部署流程中不夠成熟。
現(xiàn)在越來越多的企業(yè)虛擬化其數(shù)據(jù)中心,在這些環(huán)境中部署基本的安全做法和技術(shù)的需求也在增加?,F(xiàn)在有很多可用技術(shù)來幫助IT安全在虛擬基礎(chǔ)設(shè)施部署控制,但安全團隊只是部分地使用這些工具。隨著計算工作負載逐漸增多,安全團隊應(yīng)該認真評估虛擬化專有技術(shù),并更深入地整合到其數(shù)據(jù)中心。
管理不當?shù)沫h(huán)境
好消息是,虛擬化可以簡化漏洞修復(fù)和配置管理,但同時也需要嚴格的目錄管理來避免虛擬機泛濫。
在虛擬化環(huán)境中,很多虛擬機位于單個物理系統(tǒng),即所謂的多租戶。管理程序軟件負責維護虛擬機之間的分隔和隔離。同時,開源或商業(yè)虛擬網(wǎng)絡(luò)和虛擬安全設(shè)備或插件可以輔助這一工作。
在虛擬化環(huán)境中,配置管理其實可以更容易。使用模板可以簡化新虛擬機的部署,模板維護可以幫助集中化配置管理工具和做法到一個位置。微軟、Citrix和Vmware都提供工具和其他辦法來創(chuàng)建和管理虛擬機生命周期以及配置虛擬機生命周期及配置。
雖然漏洞修復(fù)在很多企業(yè)仍然是挑戰(zhàn),但對虛擬機測試補丁通常更容易,因為你可以在測試前對鏡像快照,并在測試完成時回滾到原來的鏡像。
然而,在很多環(huán)境的主要安全問題是缺乏虛擬機相關(guān)的完善的目錄管理。管理員和開發(fā)人員可以很容易地創(chuàng)建虛擬機,這種簡便性導(dǎo)致系統(tǒng)在配置時很少考慮到生命周期管理。有時候虛擬機可能會被暫?;蜿P(guān)閉,并保持休眠一段時間;然而,與這些機器相關(guān)的文件仍然包含敏感數(shù)據(jù)。當虛擬機再次啟用時,它們可能已經(jīng)錯過補丁修復(fù)和關(guān)鍵的配置控制。
想要正確管理虛擬環(huán)境的動態(tài)特性,運營團隊需要更新和調(diào)整其變更管理流程來適應(yīng)變化的節(jié)奏,同時考慮虛擬化堆棧中所有組件的依存關(guān)系—存儲、網(wǎng)絡(luò)和虛擬機管理程序。#p#
角色和特權(quán)管理
在虛擬環(huán)境的職責分離也很困難。有些IT企業(yè)在開始虛擬機部署時,讓現(xiàn)有的管理員和工程師團隊設(shè)計并部署虛擬化技術(shù)。這一團隊通常需要管理虛擬基礎(chǔ)設(shè)施的各個組件,缺乏職責分離可能導(dǎo)致意外錯誤或者管理不當?shù)沫h(huán)境(更不用提當某個虛擬化團隊成員變成惡意內(nèi)部人員所造成的問題)。
Vmware管理員使用默認的“管理員”角色執(zhí)行所有管理活動并不是稀罕事。在虛擬環(huán)境中管理存儲和網(wǎng)絡(luò)對象的其他IT管理員通常也會承擔這一角色,這些管理員通常有著過多的操作權(quán)限。
從網(wǎng)絡(luò)安全方面來看,這種趨勢是明顯的后退。有些企業(yè)正在部署中央接入網(wǎng)關(guān)到其虛擬化管理工具,其中包括更強的的角色和權(quán)限管理。這樣的產(chǎn)品例子是Hytrust設(shè)備—它整合了Vmware的vCenter管理平臺。
流量問題
在虛擬數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)整合也可能導(dǎo)致影響安全的問題。由于所有虛擬機都共享硬件,虛擬機管理程序服務(wù)器或刀片服務(wù)器中的網(wǎng)絡(luò)接口數(shù)量可能會決定網(wǎng)絡(luò)流量的融合程度。
大多數(shù)虛擬環(huán)境包含正常的生產(chǎn)流量,以及管理流量來訪問和操作虛擬化組件的存儲流量(例如iSCSI或光纖通道)。此外,還有操作流量,例如動態(tài)虛擬機遷移(在Vmware環(huán)境中被稱為vMotion)。
vMotion流量包含以文本形式發(fā)送的虛擬機(VM)內(nèi)存內(nèi)容,這可能包括敏感數(shù)據(jù)和身份驗證憑證。管理流量可能包括配置詳細信息或?qū)粽哂杏玫钠渌畔?。這些信息與生產(chǎn)流量混雜可能會增加數(shù)據(jù)在環(huán)境內(nèi)暴露機會,如果攻擊者成功入侵環(huán)境,這可能導(dǎo)致數(shù)據(jù)泄露?,F(xiàn)在很少企業(yè)會完全區(qū)別對待虛擬數(shù)據(jù)中心的所有這些數(shù)據(jù)類型。#p#
更好的技術(shù)控制
在過去幾年中,虛擬化專用技術(shù)控制領(lǐng)域發(fā)生了很多變化。幸運的是,企業(yè)安全團隊使用的一些工具已經(jīng)得到顯著改善,讓IT人員可以在虛擬環(huán)境實現(xiàn)與物理環(huán)境相當?shù)陌踩健?/p>
所有主要防火墻供應(yīng)商現(xiàn)在都有虛擬化選項,即虛擬設(shè)備(專門的VM)。Check Point、思科、Fortinet、瞻博網(wǎng)絡(luò)和Palo Alto等多家知名廠商都提供各種型號的虛擬設(shè)備,這些設(shè)備可以整合到虛擬基礎(chǔ)設(shè)施。Vmware也有自己的vShield系列虛擬防火墻,同時提供內(nèi)部和外圍監(jiān)控以及流量控制。
然而,很多安全團隊并沒有廣泛使用虛擬防火墻。這個功能存在,只是網(wǎng)絡(luò)和安全團隊仍然感覺其物理防火墻能夠處理網(wǎng)絡(luò)內(nèi)的流量控制。
對這些設(shè)備的管理是另一個挑戰(zhàn)。有些虛擬化團隊感覺他們應(yīng)該管理虛擬環(huán)境內(nèi)的所有組件,即使是那些網(wǎng)絡(luò)或安全相關(guān)的組件。
從成熟度的角度來看,網(wǎng)絡(luò)IDS/IPS可以媲美虛擬防火墻。有時候在虛擬設(shè)備也提供這個功能(采用更加統(tǒng)一威脅管理UTM的方法來實現(xiàn)網(wǎng)絡(luò)安全)。請參見后文的“現(xiàn)狀分析:虛擬網(wǎng)絡(luò)安全工具”。
除了獨立的平臺,入侵檢測在虛擬環(huán)境可以更容易得實現(xiàn),因為虛擬交換機中具有先進的功能。很多交換機(包括來自微軟、Vmware、思科和Open vSwitch項目的交換機)允許NetFlow輸出,以及端口鏡像選項復(fù)制流量到專用的入侵檢測設(shè)備或外部傳感器。
端點安全變化
發(fā)生顯著改變的領(lǐng)域是端點安全。在大多數(shù)虛擬化環(huán)境,傳統(tǒng)防病毒代理太耗費資源,很多傳統(tǒng)終端產(chǎn)品并沒有完全優(yōu)化用于虛擬系統(tǒng)。Intel Security(MOVE)和趨勢科技(Deep Security)的新技術(shù)卸載端點安全處理到專用虛擬機,同時利用本地API調(diào)用和內(nèi)核集成來保持VM的處理要求在低水平。
很多企業(yè)還沒有部署這些專門的端點安全產(chǎn)品,不過,大部分企業(yè)已經(jīng)開始測試這些工具或者實現(xiàn)有限的部署。在為虛擬環(huán)境選擇端點安全產(chǎn)品時,安全團隊需要注意的事項包括以下:
· 檢查供應(yīng)商產(chǎn)品與你的虛擬化技術(shù)的整合水平。目前,Vmware擁有來自新的反惡意軟件和其他端點安全供應(yīng)商的最多支持。微軟和Citrix與第三方供應(yīng)商只有較少的整合
· 注意新的“卸載”模式的局限性和缺點。雖然性能可能會提高,但為行為啟發(fā)式執(zhí)行實時掃描和內(nèi)存分析的能力可能會受到影響。此外,這些產(chǎn)品可能無法在大型環(huán)境中很好地擴展。
· 要求供應(yīng)商提供客戶參考,以及在你的端點類型和虛擬化技術(shù)內(nèi)操作相關(guān)的性能統(tǒng)計數(shù)據(jù)和指標。#p#
虛擬機管理程序日志收集
目前,很多企業(yè)的虛擬環(huán)境內(nèi)的日志記錄和監(jiān)測非常不成熟。
最大的問題是從虛擬機管理平臺進行日志收集,很多企業(yè)根本沒有這樣做或者做得不夠。虛擬機管理程序平臺會生成各種日志信息,告訴你誰正在使用該平臺、正在進行什么類型的活動、性能和行為統(tǒng)計數(shù)據(jù)等。例如,Vmware是ESXi虛擬機管理程序包含以下日志信息,安全和運營團隊應(yīng)該這些日志進行收集:
· /var/log/syslog.log – 通用系統(tǒng)日志文件
· /var/log/auth.log - 身份驗證和安全事件
· /var/log/vmkernel.log - 其他虛擬機管理程序的信息
· /var/log/hostd.log - Master ESXi服務(wù)日志
· /var/log/vpxa.log - vCenter 管理代理日志
大多數(shù)基于Linux的虛擬機管理程序(Xen、KVM、Vmware)本身包含某種系統(tǒng)日志守護進程,這使得日志收集和匯總更簡單。在Hyper-V環(huán)境中,應(yīng)該使用針對Windows Event Viewer的日志代理,雖然Microsoft System Center工具也可以從分布式管理程序檢索日志和事件數(shù)據(jù)。
安全團隊應(yīng)該收集其環(huán)境中所有虛擬機管理程序的所有相關(guān)日志信息,并整合這些信息到中央日志管理和SIEM平臺進行分析和關(guān)聯(lián)。
最后,在大多數(shù)企業(yè),仍然需要解決物理和虛擬環(huán)境內(nèi)部署的安全技術(shù)之間的差距。但目前很多IT和安全團隊遲遲沒有部署必要的政策和流程來更好地管理虛擬化平臺和虛擬機。
隨著企業(yè)對虛擬數(shù)據(jù)中心的投資增加,企業(yè)安全團隊應(yīng)該認真評估虛擬化專有安全工具,而首席信息安全官應(yīng)該部署和改進虛擬化管理及操作相關(guān)的政策和流程?,F(xiàn)在虛擬環(huán)境內(nèi)的安全性并沒有達到物理系統(tǒng)和網(wǎng)絡(luò)的水平,但隨著虛擬技術(shù)的發(fā)展以及政策到位,這個問題可以得到解決。
現(xiàn)狀分析:虛擬網(wǎng)絡(luò)安全工具
在評估虛擬設(shè)備時,企業(yè)團隊應(yīng)該考慮以下方法來提高虛擬網(wǎng)絡(luò)安全性:
確定你是否需要虛擬防火墻來對發(fā)送到、發(fā)送自虛擬化或云計算基礎(chǔ)設(shè)施及其內(nèi)部的流量進行控制。在某些情況下,因為合規(guī)目的,或者為了實現(xiàn)比現(xiàn)有物理防火墻及架構(gòu)可提供的流量控制更細粒度的控制,企業(yè)可能需要虛擬防火墻。
確保你的虛擬IDS/IPS或防火墻供應(yīng)商支持你主要的虛擬技術(shù)。目前,大多數(shù)供應(yīng)商支持VMWare,而Xen和Hyper-V平臺的支持則很有限。
考慮虛擬設(shè)備需要多少資源—它們需要內(nèi)存、磁盤空間和CPU。
考慮防火墻和IDS/IPS管理相關(guān)的管理問題。在大多數(shù)情況下,可以讓當前管理防火墻和IDS/IPS的團隊管理虛擬模式。