1虛擬化簡介

    1．1虛擬化的基本概念

    早在上世紀60年代，美國的計算機學術界就開始了虛擬技術的萌芽。1959年6月在國際信息處理大會上，克里斯托弗的一篇《計算機分時應用》的論文，被認為是虛擬化技術的最早論述。

    所謂虛擬化，是指將單臺電腦／服務器軟件環(huán)境分割為多個獨立分區(qū)，每個分區(qū)均可以按照需要模擬電腦／服務器的一項技術。它的技術實質(zhì)是通過中間層次實現(xiàn)計算資源的管理和再分配，使資源利用實現(xiàn)最大化。

    以市場占有率來說，目前提供企業(yè)虛擬化的主要產(chǎn)品有VMware的vShpere、微軟Hyper-V以及Ctrix的XenServer／XenDesktop等，此次課題研究將圍繞市場占有率最高、普及最廣的VMware廠家的虛擬化技術展開。

    1．2虛擬化的優(yōu)勢

    虛擬化之所以成為IT領域的新寵，必有其不可取代的獨到之處，那么其魅力究竟何在呢?

    1．2．1降低運營成本

    在過去的物理系統(tǒng)中，如果出現(xiàn)硬件老化或機房擴建的需求時，企業(yè)必須花費一筆不小的費用用于新設備的采購，而在選擇虛擬化方案后，IT設備的采購費用花銷不再是令人頭疼的問題。虛擬化軟件提供的資源共享，將原先眾多的硬件設備整合到虛擬化環(huán)境中，這資源池的概念為用戶降低了機房的運維成本：

    (1)大大縮減了用戶每年在硬件采購與機房運營成本(包括供電、制冷和場地)；

    (2)另一方面，隨著VMware在更多低成本硬件上得到認可，以及該套件不斷擴展以適應最苛刻的企業(yè)工作負載條件，VMware Infrastructure帶來的成本節(jié)約空間將越來越大。

    1．2．2提高硬件資源效率

    隨著網(wǎng)絡環(huán)境的過度膨脹，加上服務器的空間、耗電、散熱成本不斷提高，CPU等資源利用率過低，使得虛擬機廠家開始將目標放在“單個物理服務器上運行多個操作系統(tǒng)環(huán)境。”這樣可以讓每一個系統(tǒng)服務(如數(shù)據(jù)庫、網(wǎng)頁服務器)在單個的操作系統(tǒng)上運行，而多個操作系統(tǒng)可以在同一臺物理服務器上并行運行，不但保持了服務間隔，更讓前面的問題迎刃而解。

    1．2．3管理的優(yōu)勢

    虛擬化提供的功能可以將IT管理人員再度合并。一個人管理上千臺服務器不再是夢想，不但可以讓機器有高效性，公司的人事也可以有高效性，當然，完善的管理功能必須創(chuàng)建在良好的架構(gòu)之上。

    1．2．4高可用性

    在服務器合并之后，大家發(fā)現(xiàn)虛擬機的功能不僅于此。由于虛擬機的硬件在抽象化之后，比物理機的應用更有彈性。再加上特殊的硬件和設計之后企業(yè)最在乎高可用性(High Availability)。冗余、負載均衡、副本等從前必須靠復雜技術或是昂貴設備才能解決的問題，使用虛擬化可以一并解決。

    此外，虛擬化更可以解決當前設備無法解決的問題，包括動態(tài)主機遷移、快捷刪除數(shù)據(jù)、統(tǒng)一桌面管理，甚至是創(chuàng)建永遠不會藍屏的企業(yè)集成環(huán)境。

2虛擬化環(huán)境中的安全隱患

    虛擬化的眾多好處，讓人們認為系統(tǒng)管理員在虛擬化架構(gòu)實施后便能高枕無憂，可惜的是現(xiàn)實狀況告訴用戶這一切只是我們對于虛擬化效果的過度期望——虛擬化技術打破了傳統(tǒng)系統(tǒng)的架構(gòu)后，在解放管理員于繁雜的管理維護工作的同時，也為系統(tǒng)安全帶來了新的威脅。由于設計虛擬化方案的專家一般并不是非常了解安全防護知識，導致整個虛擬化設計方案中，都沒有特別考慮到安全防護的環(huán)節(jié)。

    可以看出，在新的虛擬化架構(gòu)中，人、流程和技術必須進行相應的調(diào)整。因此，我們必須全面地了解這個技術獨有的新風險和安全挑戰(zhàn)。接下來的章節(jié)將闡述虛擬化環(huán)境的幾個主要的安全問題。

    2．1隔離

    為了安全地整合服務器，實現(xiàn)在一臺物理服務器上運行多個虛擬機，虛擬化使用邏輯隔離來提供物理獨立的感覺。我們無法再通過網(wǎng)線和其他物理對象來確定主機是否分隔，我們依靠的是虛擬機管理程序和其他基于軟件的組件來確認這一點。當工作負載是來自共享同一個硬件的擁有不同可信任級別的用戶時，這會變得越來越重要。為了正確地包含信息，管理員必須特別地關注影響虛擬機和網(wǎng)絡隔離的配置設備，同時持續(xù)地監(jiān)控整個基礎架構(gòu)中可能導致敏感數(shù)據(jù)泄漏的變更。

    2．2服務器生命周期和變更控制

    補丁管理和變更控制對于保持操作平穩(wěn)和安全運行是至關重要的。它可以通過及時申請重要安全修復來實現(xiàn)。事實上， 許多IT組織已經(jīng)圍繞服務器維護建立了一個精密、科學的環(huán)境，這是非常重要的。毫無疑問，組織每年都會投入大量的時間和精力來維護數(shù)據(jù)中心的服務器。虛擬化的出現(xiàn)改變了游戲規(guī)則，從而增加了復雜性。服務器不再持續(xù)地運行；而虛擬機是可以停止、啟動、暫停甚至重新返回最初的狀態(tài)的。主機所配置和部署的速度也顯著提高。過去需要花費數(shù)小時才能完成的配置，現(xiàn)在只需幾秒或幾分鐘就可以完成。其結(jié)果就是形成了一個高度動態(tài)的環(huán)境，主機可以在不需要監(jiān)控的情況下快速地引入到數(shù)據(jù)中心，而安全漏洞可以被忽視或根據(jù)虛擬機的狀態(tài)被重新引入。安全專業(yè)人員必須全面地了解哪些虛擬機是正在部署的，哪些是目前正在運行的，最后一次打補丁是什么時候以及它們的擁有者是誰。

    2．3虛擬機移動性

    移動性，在虛擬化語言中指的是虛擬機自動將其本身和資源重定位到另一個位置。

    圖1虛擬機移動性示意圖

    這個被高度認可的功能也可能產(chǎn)生一些問題。在一個傳統(tǒng)的數(shù)據(jù)中心中，物理服務器“A”可能被放置在第5行第8個機架的插槽3上。而在一個混合數(shù)據(jù)中心，虛擬機“B”則無法簡單地定位。作為資源池的一部分，服務器“B”可能分布在多個物理資源上。如果配置了移動性，虛擬機可以重新定位到另外一臺物理服務器上，不管是作為災難預備的自動化過程的一部分或是用于響應性能閾值。虛擬機的移動性意味著增加數(shù)據(jù)中心的靈活性，減少時間和開支，但是它同時也引進了類似于筆記本電腦和大型動態(tài)主機配置協(xié)議(D H C P)環(huán)境的安全問題。

    針對于傳統(tǒng)服務器和網(wǎng)絡的靜態(tài)策略和其他安全機制可能很容易混淆。安全產(chǎn)品可以在多個物理和虛擬環(huán)境中智能地操作，并通過整合平臺和管理API實現(xiàn)基礎架構(gòu)感知，從而使管理員能夠?qū)Ω鞣N安全區(qū)域的虛擬機移動性進行控制。

    2．4虛擬網(wǎng)絡安全性

    網(wǎng)絡和服務器不再是數(shù)據(jù)中心內(nèi)兩個獨立區(qū)分的層。虛擬化會造成一些復雜網(wǎng)絡環(huán)境，它們在服務器本身的界限是完全虛擬化的。這些虛擬網(wǎng)絡會促進服務器中的虛擬機通信，同時共享物理交換機和其他傳統(tǒng)網(wǎng)絡裝置所使用的許多相同特性。在數(shù)據(jù)中心，用于表示l臺服務器的一個物理端口可能表示10臺或者上百臺虛擬服務器，并且對于我們?nèi)绾伪ＷC數(shù)據(jù)中心網(wǎng)絡安全造成巨大影響。在同一臺物理服務器中，虛擬機之間的網(wǎng)絡流量并不會離開主機，也不會被物理網(wǎng)絡中的傳統(tǒng)網(wǎng)絡安全裝置檢測到。這些盲點，特別是在不同信任層的虛擬機中，必須通過運行在虛擬基礎架構(gòu)中的附加保護層進行妥善地保護。

    2．5操作職責的分離

    職責分離和最小特權(quán)的策略是很重要的安全原則，它們可用于限制IT管理員管理資源和執(zhí)行日常任務的權(quán)限。服務器管理往往是由服務器管理員負責的，而網(wǎng)絡管理是由網(wǎng)絡管理員負責，安全專業(yè)人員則與兩個團隊一起工作，同時還負責。

    他們自己的特定任務。虛擬化已經(jīng)改變了這些部門的自然邊界和分界線。服務器和網(wǎng)絡任務都可以通過一個虛擬管理控制臺進行管理，從而帶來了必須克服的新的運營挑戰(zhàn)。組織必須清晰定義正確的身份和訪問管理策略，允許管理員和安全專業(yè)人員正確地維護和保證虛擬環(huán)境安全，而不會向無關人員分配過多權(quán)限。

    2．6軟件附加層

    由于數(shù)據(jù)中心引進了虛擬化，因此實現(xiàn)軟件也需要額外的代碼——從控制虛擬機的管理控制臺到提供技術基礎的虛擬機管理程序。同樣地，由于x86虛擬化的某些普遍性、可達性和相對的不成熟，因此也出現(xiàn)了一些與虛擬化軟件相關的新漏洞。此外，從供應商到漏洞分析和發(fā)布是高度機密的。很多信息披露可以歸咎于虛擬化軟件堆棧所打包的第三方代碼，而供應商正在采取措施減少他們的軟件的足跡和對無法控制代碼的依賴。然而，毫無疑問，無故障代碼大部分都是做不到的，特別是在供應商將復雜功能整合到他們的平臺上的情況下。組織必須將虛擬化作為他們最重要的應用程序，同時提供恰當?shù)姆雷o以便應付這些風險。

    總結(jié)出虛擬化環(huán)境中的這些常見安全隱患后，下面我們就將列舉出幾個常見的安全防護解決方案，并對每個方案的特點作出相應解釋與說明。

3常見的虛擬化安全防護解決方案

    3．1 vShield

    對于想要充分利用云計算的優(yōu)勢，同時又不想犧牲安全性、控制力或遵從性的公司而言，VMware vShield安全解決方案系列可為其虛擬數(shù)據(jù)中心和云計算環(huán)境提供全面的保護。vShirld可提供網(wǎng)絡入侵防范，將用于端點的防病毒和惡意軟件防護性能提高一個數(shù)量級上，提高敏感數(shù)據(jù)的可見性和控制力，并且促進整個企業(yè)內(nèi)的IT遵從性實現(xiàn)，從而幫助公司加強應用程序和數(shù)據(jù)的安全。

    3．1．1基本功能

    1)保護關鍵業(yè)務應用程序的安全

    vShield解決方案使客戶可以輕松地為同一虛擬數(shù)據(jù)中心內(nèi)分屬不同信任級別的應用程序(例如生產(chǎn)和開發(fā)、財務和銷售、機密和非機密應用程序等)提供支持。vShield中的虛擬化管理程序級防火墻可以確保對所有部署的應用程序都實施正確的分段和信任區(qū)域。

    2)保護虛擬桌面部署的安全

    通過與VMware View集成，vShield可以為虛擬端點和應用程序提供更有效的防病毒和防惡意軟件保護。為實現(xiàn)這一點，它將防病毒和防惡意軟件功能從各個虛擬機卸載到用于保護主機及主機上的所有虛擬機的安全虛擬機上。這種方法既簡化了安全管理的過程，又加強了對防病毒“風暴”、性能瓶頸和僵尸網(wǎng)絡攻擊的防范。

    圖2保護虛擬桌面部署的安全

    vShield還可以通過全面的網(wǎng)絡隔離以及防火墻、虛擬專用網(wǎng)(VPN)和動態(tài)主機配置協(xié)議(DHCP)等一系列網(wǎng)關服務，幫助組織圍繞虛擬桌面基礎架構(gòu)創(chuàng)建邏輯安全邊界。

    3)通過敏感數(shù)據(jù)發(fā)現(xiàn)功能降低違規(guī)風險

    組織可以使用vShield App with Data Security準確地發(fā)現(xiàn)和報告非結(jié)構(gòu)化文件中的敏感數(shù)據(jù)。借助80多個預定義的國家／地區(qū)和行業(yè)特定的法規(guī)模板，它可以快速識別和報告敏感數(shù)據(jù)泄漏。此外，它通過將數(shù)據(jù)發(fā)現(xiàn)功能卸載到虛擬設備來提高性能。

    4)保護多租戶環(huán)境的安全

    vShield解決方案可通過創(chuàng)建為虛擬數(shù)據(jù)中心提供完全網(wǎng)絡隔離的邏輯安全區(qū)域，使企業(yè)和云計算服務提供商可以輕松支持多租戶IT環(huán)境，并安全地共享網(wǎng)絡資源。vShield還可以精確地控制和提供詳盡的網(wǎng)關流量信息，此外還可提供VPN服務，用于保護虛擬數(shù)據(jù)中心之間的通信保密性和完整性。

    圖3保護多租戶環(huán)境的安全

    3．2趨勢科技Deep Security

    趨勢科技的Deep Security正是針對VMware開放的API端口，將自身的防毒處理整合到虛擬化平臺中，主要特點是能夠加快查毒效率、并且終端無需安裝代理。

    Deep Security解決方案架構(gòu)包含三個組件：Deep Security代理，部署在受保護的服務器或虛擬機上。

    Deep Security管理器，提供集中式策略管理、發(fā)布安全更新并通過警報和報告進行監(jiān)控。

    安全中心，是一種托管門戶，專業(yè)漏洞研究團隊針對新出現(xiàn)的威脅通過該門戶開發(fā)規(guī)則更新，然后由Deep Security管理器定期發(fā)布這些更新。

    3．2．1工作原理

    Deep Security代理接收來自Deep Security管理器的安全配置，通常是一個安全配置文件。該安全配置包含對服務器強制執(zhí)行的深度數(shù)據(jù)包檢查、防火墻、完整性監(jiān)控及日志審計規(guī)則。只需通過執(zhí)行建議的掃描即可確定對服務器分配哪些規(guī)則，此過程將掃描服務器上已安裝的軟件并建議需要采用哪些規(guī)則保護服務器。對所有規(guī)則監(jiān)控活動都創(chuàng)建事件，隨后這些事件將發(fā)送到Deep Security管理器，或者同時也發(fā)送到SIEM系統(tǒng)。Deep Security代理和Deep Seeurity管理器之間的所有通信都受到相互驗證的SSL所保護。

    Deep Security管理器對安全中心發(fā)出輪詢，以確定是否存在新的安全更新。存在新的更新時，Deep Security管理器將獲取該更新，然后便可通過手動或自動方式將該更新應用于需要其額外保護的服務器。Deep Security管理器和安全中心之間的通信也受到相互驗證的SSL所保護。DeepSecurity管理器還連接到IT基礎架構(gòu)的其他元素，以簡化管理。Deep Security管理器可連接到VMware vCenter，也可連接到Microsoft ActiveDirectory等目錄，以獲取服務器配置和分組信息。Deep Security管理器還擁有Web服務API，可用于程式化地訪問功能。

    安全中心對漏洞信息的公共和私有源都進行監(jiān)控，以保護客戶正在使用的操作系統(tǒng)和應用程序。

    3．2．2主要功能模塊

    1)Deep Security管理器

    Deep Security解決方案提供實用且經(jīng)過驗證的控制，可解決棘手的安全問題。有關操作且具有可行性的安全不僅讓您的組織獲知安全事件，還可幫助了解安全事件。在許多情況下，這種安全就是提供有關事件發(fā)起者、內(nèi)容、時間和位置的信息，以便組織可以正確理解事件然后執(zhí)行相應操作，而不僅僅是告訴組織安全控制本身執(zhí)行了什么操作。Deep Security管理器軟件滿足了安全和操作雙重要求，其功能如下：

    (1)集中式的、基于Web的管理系統(tǒng)：通過一種熟悉的、資源管理器風格的用戶界面創(chuàng)建和管理安全策略，并跟蹤記錄威脅以及為響應威脅而采取的預防措施。

    (2)詳細報告：內(nèi)容詳盡的報告記錄了未遂的攻擊，并提供有關安全配置和更改的可審計歷史記錄。

    (3)建議掃描：識別服務器和虛擬機上運行的應用程序，并建議對這些系統(tǒng)應用哪些過濾器，從而確保提供事半功倍的正確防護。

    (4)風險排名：可根據(jù)資產(chǎn)價值和漏洞信息查看安全事件。

    (5)基于角色的訪問：可使多個管理員(每個管理員具有不同級別的權(quán)限)對系統(tǒng)的不同方面進行操作并根據(jù)各自的角色接收相應的信息。

    (6)可自定義的儀表板：使管理員能夠瀏覽和追溯至特定信息，并監(jiān)控威脅及采取的預防措施。可創(chuàng)建和保存多個個性化視圖。

    (7)預定任務：可預定常規(guī)任務(如報告、更新、備份和目錄同步)以便自動完成。

    2)Deep Security代理

    Deep Security代理是Deep Security解決方案中的一個基于服務器的軟件組件，實現(xiàn)了IDS／IPS、Web應用程序防護、應用程序控制、防火墻、完整性監(jiān)控以及日志審計。它可通過監(jiān)控出入通信流中是否存在協(xié)議偏離、發(fā)出攻擊信號的內(nèi)容或違反策略的情況，對服務器或虛擬機實行防御。必要時，Deep Security代理會通過阻止惡意通信流介入威脅并使之無效。

    3)安全中心

    安全中心是Deep Security解決方案中不可或缺的一部分。它包含一支由安全專家組成的動態(tài)團隊，這些專家在發(fā)現(xiàn)各種新的漏洞和威脅時便提供及時快速的響應，從而幫助客戶對最新威脅做到防患于未然；同時，安全中心還包含一個用于訪問安全更新和信息的客戶門戶。安全中心專家采用一套由復雜的自動化工具所支持的嚴格的六步快速響應流程：

    (1)監(jiān)控：對超過100個公共、私有和政府數(shù)據(jù)源進行系統(tǒng)化的持續(xù)監(jiān)控，以識別新的相關威脅和漏洞，并將其關聯(lián)起來。安全中心研究人員利用與不同組織的關系，獲取有關漏洞的早期(有時是預發(fā)布)信息，從而向客戶提供及時、準確的防護。這些來源包括Microsoft、Oracle及其他供應商顧問、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。

    (2)確定優(yōu)先級：然后根據(jù)客戶風險評估及服務等級協(xié)議確定漏洞的優(yōu)先級，以做進一步分析。

    (3)分析：對漏洞執(zhí)行深入分析，確定需要采取的必要防護措施。

    (4)開發(fā)和測試：然后開發(fā)出可對漏洞實行防護的軟件過濾器以及可推薦過濾器的規(guī)則，并進行廣泛的測試，以便最大限度地降低誤測率，并確保客戶能夠快速、順利地部署這些過濾器和規(guī)則。

    (5)交付：將新過濾器作為安全更新交付給客戶。當新的安全更新發(fā)布時，客戶將通過Deep SeCurity管理器中的警報立即收到通知。然后就可以將這些過濾器自動或手動應用于相應的服務器。

    (6)通信：通過可提供有關新發(fā)現(xiàn)安全漏洞的詳細描述的安全顧問，可實現(xiàn)與客戶之問的持續(xù)通信。3．3 lBM VSP

    3．3．1 IBM安全防護解決方案架構(gòu)

    在每臺VMware ESX服務器上部署IBM Virtual Server Protection虛擬化防護系統(tǒng)軟件，在虛擬環(huán)境的基礎設施邊界部署IBM GX系列網(wǎng)絡入侵防護設備。

    3．3．2 IBM安全防護系統(tǒng)功能概述表1 IBM安全防護系統(tǒng)功能概述

表1 IBM安全防護系統(tǒng)功能概述

    三者都能有效地解決因為同時開啟病毒掃描而引發(fā)的“防病毒風暴”的問題。

    vShield解決方案能夠提供自適應的安全防護機制，安全防護策略可跟隨虛擬機在主機之間移動；通過一個綜合性框架，vShield可以為虛擬數(shù)據(jù)中心和云計算環(huán)境提供全方位保護——主機、網(wǎng)絡、應用程序、數(shù)據(jù)和端點；vShield可以保護虛擬數(shù)據(jù)中心的應用程序使其不受網(wǎng)絡攻擊的侵擾，公司可以監(jiān)視和控制虛擬機之間的網(wǎng)絡通信——策略執(zhí)行是基于VMware vCmterTM容器和vShield安全組等邏輯結(jié)構(gòu)進行，而不是僅基于P地址等物理結(jié)構(gòu)，因此十分靈活。

    趨勢科技作為專門的安全解決方案廠家，DeepSecurity能提供相對更加專業(yè)與深入的安全防護，以單個解決方案提供包括狀態(tài)型防火墻、入侵檢測和防御、應用層防火墻功能、文件和系統(tǒng)完整性監(jiān)控以及日志審計等所有功能；在快速廣泛的部署過程中也表現(xiàn)良好；并且能跨平臺提供完整功能，與IT基礎架構(gòu)更加緊密地集成。

    而IBM虛擬基礎架構(gòu)安全性提供了虛擬環(huán)境感知，同時形成了一個透明的即插即用威脅保護解決方案，從而解決與虛擬機蔓延和移動性、虛擬網(wǎng)絡可見性缺乏相關的安全性問題。通過整合虛擬平臺，IBM提供了整體的網(wǎng)絡級別的入侵防御和虛擬環(huán)境審計，從而減少了客戶操作系統(tǒng)中的網(wǎng)絡流量分析需求。通過這種方法，企業(yè)可以控制每個客戶0S的安全性，從而清除了冗余資源消耗，降低了安全管理復雜性。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標題：企業(yè)虛擬化環(huán)境中的安全防護

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083947742.html