企业虚拟化环境中的安全防护

1虚拟化简介

    1．1虚拟化的基本概念

    早在上世纪60年代，美国的计算机学术界就开始了虚拟技术的萌芽。1959年6月在国际信息处理大会上，克里斯托弗的一篇《计算机分时应用》的论文，被认为是虚拟化技术的最早论述。

    所谓虚拟化，是指将单台电脑／服务器软件环境分割为多个独立分区，每个分区均可以按照需要模拟电脑／服务器的一项技术。它的技术实质是通过中间层次实现计算资源的管理和再分配，使资源利用实现最大化。

    以市场占有率来说，目前提供企业虚拟化的主要产品有VMware的vShpere、微软Hyper-V以及Ctrix的XenServer／XenDesktop等，此次课题研究将围绕市场占有率最高、普及最广的VMware厂家的虚拟化技术展开。

    1．2虚拟化的优势

    虚拟化之所以成为IT领域的新宠，必有其不可取代的独到之处，那么其魅力究竟何在呢?

    1．2．1降低运营成本

    在过去的物理系统中，如果出现硬件老化或机房扩建的需求时，企业必须花费一笔不小的费用用于新设备的采购，而在选择虚拟化方案后，IT设备的采购费用花销不再是令人头疼的问题。虚拟化软件提供的资源共享，将原先众多的硬件设备整合到虚拟化环境中，这资源池的概念为用户降低了机房的运维成本：

    (1)大大缩减了用户每年在硬件采购与机房运营成本(包括供电、制冷和场地)；

    (2)另一方面，随着VMware在更多低成本硬件上得到认可，以及该套件不断扩展以适应最苛刻的企业工作负载条件，VMware Infrastructure带来的成本节约空间将越来越大。

    1．2．2提高硬件资源效率

    随着网络环境的过度膨胀，加上服务器的空间、耗电、散热成本不断提高，CPU等资源利用率过低，使得虚拟机厂家开始将目标放在“单个物理服务器上运行多个操作系统环境。”这样可以让每一个系统服务(如数据库、网页服务器)在单个的操作系统上运行，而多个操作系统可以在同一台物理服务器上并行运行，不但保持了服务间隔，更让前面的问题迎刃而解。

    1．2．3管理的优势

    虚拟化提供的功能可以将IT管理人员再度合并。一个人管理上千台服务器不再是梦想，不但可以让机器有高效性，公司的人事也可以有高效性，当然，完善的管理功能必须创建在良好的架构之上。

    1．2．4高可用性

    在服务器合并之后，大家发现虚拟机的功能不仅于此。由于虚拟机的硬件在抽象化之后，比物理机的应用更有弹性。再加上特殊的硬件和设计之后企业最在乎高可用性(High Availability)。冗余、负载均衡、副本等从前必须靠复杂技术或是昂贵设备才能解决的问题，使用虚拟化可以一并解决。

    此外，虚拟化更可以解决当前设备无法解决的问题，包括动态主机迁移、快捷删除数据、统一桌面管理，甚至是创建永远不会蓝屏的企业集成环境。

2虚拟化环境中的安全隐患

    虚拟化的众多好处，让人们认为系统管理员在虚拟化架构实施后便能高枕无忧，可惜的是现实状况告诉用户这一切只是我们对于虚拟化效果的过度期望——虚拟化技术打破了传统系统的架构后，在解放管理员于繁杂的管理维护工作的同时，也为系统安全带来了新的威胁。由于设计虚拟化方案的专家一般并不是非常了解安全防护知识，导致整个虚拟化设计方案中，都没有特别考虑到安全防护的环节。

    可以看出，在新的虚拟化架构中，人、流程和技术必须进行相应的调整。因此，我们必须全面地了解这个技术独有的新风险和安全挑战。接下来的章节将阐述虚拟化环境的几个主要的安全问题。

    2．1隔离

    为了安全地整合服务器，实现在一台物理服务器上运行多个虚拟机，虚拟化使用逻辑隔离来提供物理独立的感觉。我们无法再通过网线和其他物理对象来确定主机是否分隔，我们依靠的是虚拟机管理程序和其他基于软件的组件来确认这一点。当工作负载是来自共享同一个硬件的拥有不同可信任级别的用户时，这会变得越来越重要。为了正确地包含信息，管理员必须特别地关注影响虚拟机和网络隔离的配置设备，同时持续地监控整个基础架构中可能导致敏感数据泄漏的变更。

    2．2服务器生命周期和变更控制

    补丁管理和变更控制对于保持操作平稳和安全运行是至关重要的。它可以通过及时申请重要安全修复来实现。事实上， 许多IT组织已经围绕服务器维护建立了一个精密、科学的环境，这是非常重要的。毫无疑问，组织每年都会投入大量的时间和精力来维护数据中心的服务器。虚拟化的出现改变了游戏规则，从而增加了复杂性。服务器不再持续地运行；而虚拟机是可以停止、启动、暂停甚至重新返回最初的状态的。主机所配置和部署的速度也显著提高。过去需要花费数小时才能完成的配置，现在只需几秒或几分钟就可以完成。其结果就是形成了一个高度动态的环境，主机可以在不需要监控的情况下快速地引入到数据中心，而安全漏洞可以被忽视或根据虚拟机的状态被重新引入。安全专业人员必须全面地了解哪些虚拟机是正在部署的，哪些是目前正在运行的，最后一次打补丁是什么时候以及它们的拥有者是谁。

    2．3虚拟机移动性

    移动性，在虚拟化语言中指的是虚拟机自动将其本身和资源重定位到另一个位置。

    图1虚拟机移动性示意图

    这个被高度认可的功能也可能产生一些问题。在一个传统的数据中心中，物理服务器“A”可能被放置在第5行第8个机架的插槽3上。而在一个混合数据中心，虚拟机“B”则无法简单地定位。作为资源池的一部分，服务器“B”可能分布在多个物理资源上。如果配置了移动性，虚拟机可以重新定位到另外一台物理服务器上，不管是作为灾难预备的自动化过程的一部分或是用于响应性能阈值。虚拟机的移动性意味着增加数据中心的灵活性，减少时间和开支，但是它同时也引进了类似于笔记本电脑和大型动态主机配置协议(D H C P)环境的安全问题。

    针对于传统服务器和网络的静态策略和其他安全机制可能很容易混淆。安全产品可以在多个物理和虚拟环境中智能地操作，并通过整合平台和管理API实现基础架构感知，从而使管理员能够对各种安全区域的虚拟机移动性进行控制。

    2．4虚拟网络安全性

    网络和服务器不再是数据中心内两个独立区分的层。虚拟化会造成一些复杂网络环境，它们在服务器本身的界限是完全虚拟化的。这些虚拟网络会促进服务器中的虚拟机通信，同时共享物理交换机和其他传统网络装置所使用的许多相同特性。在数据中心，用于表示l台服务器的一个物理端口可能表示10台或者上百台虚拟服务器，并且对于我们如何保证数据中心网络安全造成巨大影响。在同一台物理服务器中，虚拟机之间的网络流量并不会离开主机，也不会被物理网络中的传统网络安全装置检测到。这些盲点，特别是在不同信任层的虚拟机中，必须通过运行在虚拟基础架构中的附加保护层进行妥善地保护。

    2．5操作职责的分离

    职责分离和最小特权的策略是很重要的安全原则，它们可用于限制IT管理员管理资源和执行日常任务的权限。服务器管理往往是由服务器管理员负责的，而网络管理是由网络管理员负责，安全专业人员则与两个团队一起工作，同时还负责。

    他们自己的特定任务。虚拟化已经改变了这些部门的自然边界和分界线。服务器和网络任务都可以通过一个虚拟管理控制台进行管理，从而带来了必须克服的新的运营挑战。组织必须清晰定义正确的身份和访问管理策略，允许管理员和安全专业人员正确地维护和保证虚拟环境安全，而不会向无关人员分配过多权限。

    2．6软件附加层

    由于数据中心引进了虚拟化，因此实现软件也需要额外的代码——从控制虚拟机的管理控制台到提供技术基础的虚拟机管理程序。同样地，由于x86虚拟化的某些普遍性、可达性和相对的不成熟，因此也出现了一些与虚拟化软件相关的新漏洞。此外，从供应商到漏洞分析和发布是高度机密的。很多信息披露可以归咎于虚拟化软件堆栈所打包的第三方代码，而供应商正在采取措施减少他们的软件的足迹和对无法控制代码的依赖。然而，毫无疑问，无故障代码大部分都是做不到的，特别是在供应商将复杂功能整合到他们的平台上的情况下。组织必须将虚拟化作为他们最重要的应用程序，同时提供恰当的防护以便应付这些风险。

    总结出虚拟化环境中的这些常见安全隐患后，下面我们就将列举出几个常见的安全防护解决方案，并对每个方案的特点作出相应解释与说明。

3常见的虚拟化安全防护解决方案

    3．1 vShield

    对于想要充分利用云计算的优势，同时又不想牺牲安全性、控制力或遵从性的公司而言，VMware vShield安全解决方案系列可为其虚拟数据中心和云计算环境提供全面的保护。vShirld可提供网络入侵防范，将用于端点的防病毒和恶意软件防护性能提高一个数量级上，提高敏感数据的可见性和控制力，并且促进整个企业内的IT遵从性实现，从而帮助公司加强应用程序和数据的安全。

    3．1．1基本功能

    1)保护关键业务应用程序的安全

    vShield解决方案使客户可以轻松地为同一虚拟数据中心内分属不同信任级别的应用程序(例如生产和开发、财务和销售、机密和非机密应用程序等)提供支持。vShield中的虚拟化管理程序级防火墙可以确保对所有部署的应用程序都实施正确的分段和信任区域。

    2)保护虚拟桌面部署的安全

    通过与VMware View集成，vShield可以为虚拟端点和应用程序提供更有效的防病毒和防恶意软件保护。为实现这一点，它将防病毒和防恶意软件功能从各个虚拟机卸载到用于保护主机及主机上的所有虚拟机的安全虚拟机上。这种方法既简化了安全管理的过程，又加强了对防病毒“风暴”、性能瓶颈和僵尸网络攻击的防范。

    图2保护虚拟桌面部署的安全

    vShield还可以通过全面的网络隔离以及防火墙、虚拟专用网(VPN)和动态主机配置协议(DHCP)等一系列网关服务，帮助组织围绕虚拟桌面基础架构创建逻辑安全边界。

    3)通过敏感数据发现功能降低违规风险

    组织可以使用vShield App with Data Security准确地发现和报告非结构化文件中的敏感数据。借助80多个预定义的国家／地区和行业特定的法规模板，它可以快速识别和报告敏感数据泄漏。此外，它通过将数据发现功能卸载到虚拟设备来提高性能。

    4)保护多租户环境的安全

    vShield解决方案可通过创建为虚拟数据中心提供完全网络隔离的逻辑安全区域，使企业和云计算服务提供商可以轻松支持多租户IT环境，并安全地共享网络资源。vShield还可以精确地控制和提供详尽的网关流量信息，此外还可提供VPN服务，用于保护虚拟数据中心之间的通信保密性和完整性。

    图3保护多租户环境的安全

    3．2趋势科技Deep Security

    趋势科技的Deep Security正是针对VMware开放的API端口，将自身的防毒处理整合到虚拟化平台中，主要特点是能够加快查毒效率、并且终端无需安装代理。

    Deep Security解决方案架构包含三个组件：Deep Security代理，部署在受保护的服务器或虚拟机上。

    Deep Security管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控。

    安全中心，是一种托管门户，专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新，然后由Deep Security管理器定期发布这些更新。

    3．2．1工作原理

    Deep Security代理接收来自Deep Security管理器的安全配置，通常是一个安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。只需通过执行建议的扫描即可确定对服务器分配哪些规则，此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件，随后这些事件将发送到Deep Security管理器，或者同时也发送到SIEM系统。Deep Security代理和Deep Seeurity管理器之间的所有通信都受到相互验证的SSL所保护。

    Deep Security管理器对安全中心发出轮询，以确定是否存在新的安全更新。存在新的更新时，Deep Security管理器将获取该更新，然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。Deep Security管理器和安全中心之间的通信也受到相互验证的SSL所保护。DeepSecurity管理器还连接到IT基础架构的其他元素，以简化管理。Deep Security管理器可连接到VMware vCenter，也可连接到Microsoft ActiveDirectory等目录，以获取服务器配置和分组信息。Deep Security管理器还拥有Web服务API，可用于程式化地访问功能。

    安全中心对漏洞信息的公共和私有源都进行监控，以保护客户正在使用的操作系统和应用程序。

    3．2．2主要功能模块

    1)Deep Security管理器

    Deep Security解决方案提供实用且经过验证的控制，可解决棘手的安全问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件，还可帮助了解安全事件。在许多情况下，这种安全就是提供有关事件发起者、内容、时间和位置的信息，以便组织可以正确理解事件然后执行相应操作，而不仅仅是告诉组织安全控制本身执行了什么操作。Deep Security管理器软件满足了安全和操作双重要求，其功能如下：

    (1)集中式的、基于Web的管理系统：通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略，并跟踪记录威胁以及为响应威胁而采取的预防措施。

    (2)详细报告：内容详尽的报告记录了未遂的攻击，并提供有关安全配置和更改的可审计历史记录。

    (3)建议扫描：识别服务器和虚拟机上运行的应用程序，并建议对这些系统应用哪些过滤器，从而确保提供事半功倍的正确防护。

    (4)风险排名：可根据资产价值和漏洞信息查看安全事件。

    (5)基于角色的访问：可使多个管理员(每个管理员具有不同级别的权限)对系统的不同方面进行操作并根据各自的角色接收相应的信息。

    (6)可自定义的仪表板：使管理员能够浏览和追溯至特定信息，并监控威胁及采取的预防措施。可创建和保存多个个性化视图。

    (7)预定任务：可预定常规任务(如报告、更新、备份和目录同步)以便自动完成。

    2)Deep Security代理

    Deep Security代理是Deep Security解决方案中的一个基于服务器的软件组件，实现了IDS／IPS、Web应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况，对服务器或虚拟机实行防御。必要时，Deep Security代理会通过阻止恶意通信流介入威胁并使之无效。

    3)安全中心

    安全中心是Deep Security解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：

    (1)监控：对超过100个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期(有时是预发布)信息，从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。

    (2)确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以做进一步分析。

    (3)分析：对漏洞执行深入分析，确定需要采取的必要防护措施。

    (4)开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利地部署这些过滤器和规则。

    (5)交付：将新过滤器作为安全更新交付给客户。当新的安全更新发布时，客户将通过Deep SeCurity管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。

    (6)通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之问的持续通信。3．3 lBM VSP

    3．3．1 IBM安全防护解决方案架构

    在每台VMware ESX服务器上部署IBM Virtual Server Protection虚拟化防护系统软件，在虚拟环境的基础设施边界部署IBM GX系列网络入侵防护设备。

    3．3．2 IBM安全防护系统功能概述表1 IBM安全防护系统功能概述

表1 IBM安全防护系统功能概述

    三者都能有效地解决因为同时开启病毒扫描而引发的“防病毒风暴”的问题。

    vShield解决方案能够提供自适应的安全防护机制，安全防护策略可跟随虚拟机在主机之间移动；通过一个综合性框架，vShield可以为虚拟数据中心和云计算环境提供全方位保护——主机、网络、应用程序、数据和端点；vShield可以保护虚拟数据中心的应用程序使其不受网络攻击的侵扰，公司可以监视和控制虚拟机之间的网络通信——策略执行是基于VMware vCmterTM容器和vShield安全组等逻辑结构进行，而不是仅基于P地址等物理结构，因此十分灵活。

    趋势科技作为专门的安全解决方案厂家，DeepSecurity能提供相对更加专业与深入的安全防护，以单个解决方案提供包括状态型防火墙、入侵检测和防御、应用层防火墙功能、文件和系统完整性监控以及日志审计等所有功能；在快速广泛的部署过程中也表现良好；并且能跨平台提供完整功能，与IT基础架构更加紧密地集成。

    而IBM虚拟基础架构安全性提供了虚拟环境感知，同时形成了一个透明的即插即用威胁保护解决方案，从而解决与虚拟机蔓延和移动性、虚拟网络可见性缺乏相关的安全性问题。通过整合虚拟平台，IBM提供了整体的网络级别的入侵防御和虚拟环境审计，从而减少了客户操作系统中的网络流量分析需求。通过这种方法，企业可以控制每个客户0S的安全性，从而清除了冗余资源消耗，降低了安全管理复杂性。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：企业虚拟化环境中的安全防护

本文网址：http://www.toberp.com/html/consultation/1083947742.html