服务器虚拟化横扫了数据中心,但有个事实却让人心寒,那就是人们在设计、测试或部署服务器虚拟化的过程中很少考虑到安全性。这个问题事关重大,因为物理世界中的传统安全策略和做法在虚拟世界中完全不同。
虚拟化安全需要防卫的枪
物理世界的安全往往与“物理”属性紧密联系,比如MAC地址、服务器身份识别和IP地址等等,而这些在虚拟机中不能起到作用。另外企业的安全工作人员和虚拟机管理员一般不会在一起工作,无法共同设计并实施高效安全的虚拟化底层架构,这让事情变得更糟。
结果是hypervisor和虚拟层终将受到损害。hypervisor不像我们听到的那么神奇,它也只是软件,没有任何软件不会出现错误或漏洞。从51CTO.com以往的报道可以看出,安全减缓服务器虚拟化发展已经成为了现实。
企业可能会给自己带来漏洞。同一台物理主机上的虚拟机可以相互通讯,而防火墙和入侵检测系统无法检查它们之间传送的数据。如果攻击者占领了一台虚拟机,就可以用它作为基地来入侵同一台服务器上的其他虚拟机。
无意之间,敏感的企业数据可能就会处在危险之中。比如虚拟机的转移经常会自动化完成,这可能会让一些带有企业数据库的虚拟机转移到不安全的物理服务器。还有为快速测试网络服务器而建立的一些没有补丁也未经监测的虚拟实例可能会与关键的虚拟机存在于同一虚拟局域网中,这就为渗透攻击带来了机会。51CTO.com曾经提醒过您,如果您的单位使用了服务器虚拟化技术,我们作为IT管理者,经常想的一个问题就是如何维护好虚拟化环境的健康与安全?
安全专家和虚拟化管理员要对付的问题有一长串。业界也认识到服务器虚拟化安全问题关系重大,而且可能压制虚拟化的发展,因此也正在着力采取步骤,使虚拟机间和虚拟机内部的数据交通变得更加可见,更加安全。
其中名声最响的努力来自于VMware,它的ESX hypervisor统治了服务器虚拟化市场。VMware在2008年春天宣布推出VMsafe项目,提供一套在hypervisor层和监测层运行的安全API,安全厂商可以通过API监测虚拟世界的所有活动并执行安全政策。
虚拟化安全,大家都有枪
许多创业公司和规模较小的厂商最早采用了VMsafe,比如Altor Networks、Catbird Networks和Reflex Security,它们使用API提供了各种虚拟化安全产品。
例如,上个月Altor发布了新版本的Altor VF软件,使用VMsafe的API在hypervisor内部运行防火墙模块,这样所有的流量在到达虚拟机之前都要通过Altor的防火墙。这使安全策略更加严格,为安全专家和管理员提供了一个监测层。
今年3月份,Catbird发布了VMShield 2.0,为虚拟机创造安全区域通过比如拒绝虚拟机与面向网络服务器的应用相连接。软件的最新版本添加了跟踪功能,管理员可以在物理服务器之间迁移虚拟机时确保各项安全策略。
而传统的大供应商则在接受VMsafe时显得动作比较慢。例如RSA今年展示了基于VMsafe的概念产品,集成了数据丢失防护、用户访问验证和其他功能。不过至少要到明年RSA才会推出这个产品。
虚拟化安全,各厂商亮剑出枪
VMware并没有把虚拟化安全的工作完全留给第三方厂商(实际上,就在不久之前,VMware还推出了新产品 提升数据中心安全性)。VMware的vShield Zones也提供了类似Catbird的功能。vShield允许企业在VMware环境中创建逻辑隔离,理想的消除了主机和虚拟机集群的物理隔离问题。增加的管理层功能有助于限制虚拟机的迁移,防止出现不符合遵从性的虚拟或物理设定。
此外,VMware最近还收购了专业的虚拟化安全企业Blue Lane Technologies。通过建立自己的一系列安全产品以及通过VMsafe帮助第三方提供安全底层架构建设,VMware正在寻求实现全面的安全环境。
当然,VMware的行动也招来了一些争议,尤其是来自竞争对手。比如Citrix的首席技术官Simon Crosby,这位喜欢直话直说的开源倡导者认为私有化的VMsafe API并不是企业的好选择,他认为更开放的社区模式会更好,这样能够更好的搜索代码中的缺陷和漏洞。同样是提供虚拟化安全API,Crosby认为Citrix建立的开源Xen社区做的要更好些(51CTO.com提醒关注Citrix虚拟化技术方面的朋友请参阅:Citrix虚拟化动态迁移技术XenMotion介绍)。
Citrix也在努力为其XenServer hypervisor提供更多的安全功能(51CTO.com提醒您参阅:Citrix将发布Citrix Essentials免费版本)。随着6月份发布XenServer,Citrix的hypervisor基本做到了与VMware ESX旗鼓相当。同时,微软和最近被Oracle收购的Virtual Iron也正在努力缩小与VMware和Citrix的差距。
对于企业来说,最好是在虚拟化的提议一开始就将各方人员集合在一起,包括安全、底层架构与虚拟机的管理员。可能会出现激烈的摩擦,但是企业虚拟化的部署必须要求安全与可扩展的底层架构,要做到这点,相关的各方必须携起手来共同工作。