虚拟化的可怕一面

在推进服务器虚拟化之后,一些IT主管正在重新考虑安全隐患

1 2 3 4 5 6 Page 3
第3页,共6页

RSA的Mulé说:“我们看到了许多配置错误的管理程序。”他说,当他访问客户的办公室时,经常会看到虚拟机的补丁管理实践不佳,以及对虚拟机管理程序具有完全访问权限的虚拟机管理器程序使用容易猜到的或默认的用户名和密码。他说,此外,“我们偶尔会在防火墙的错误一侧看到虚拟机管理工具。”

看不见的网络

虚拟机之间的流量是另一个值得关注的领域,因为入侵检测和预防系统,防火墙和其他监视工具无法分辨这些机器是否在相同的物理服务器硬件上运行。 “我已经将数据包嗅探器放置在虚拟服务器上,而没有任何东西进出物理网络接口。那么这些通信是如何发生的?它们是通过安全通道进行的吗?”问凤凰城政府高级安全工程师Vauda Jordon。尽管纽约市在虚拟基础架构上进行了大量投资,但乔丹出于安全方面的考虑,甚至没有谈论其虚拟基础架构的技术或范围。

沃达·乔登
凤凰城政府的高级安全工程师Vauda Jordon说:“我对防火墙的信任比对虚拟机管理程序的信任更重要。”

使用ESX Server和其他主要的虚拟化平台时,使用VMware的vMotion工具在虚拟机之间传递的数据未加密,虚拟机在不同物理主机之间移动VM的内存状态时,虚拟机也未加密。 (VM磁盘文件本身保留在同一共享存储设备上)。 VMware Inc.产品行销高级总监Venu Aravamudan说,“我们的路线图/规划工作中正在积极考虑加密”,但他拒绝评论是否以及何时将加密添加到VMware产品中。

Aravamudan说,使用最佳实践时,加密“不是大问题”。这些最佳做法要求将vMotion流量与生产流量完全区分开。但是他承认,“理论上来说,中间人攻击是可能的”,特别是因为虚拟服务器实例可能会在数据中心之间移动,而不仅仅是在单个设施内。

诸如VMware的vShield和其他第三方工具之类的产品可以创建将VMware,Xen Server,Hyper-V和其他虚拟机划分为不同安全区域的虚拟防火墙,但并非所有组织都已实现它们。例如,安全区域的创建并不是Rent-a-Center的重点。但是,随着虚拟基础架构规模的扩大,这已成为一种必要。

零售商仍在物理上分隔虚拟机,以使虚拟服务器的每个功能组驻留在不同的物理服务器上。但是,随着虚拟设置的扩大,这种方法很难维护,并且限制了虚拟化所带来的整合优势。 Rent-a-Center的Chanani说,在某些情况下,刀片服务器机箱中可能只有一个刀片。他说:“这很快变得非常昂贵。这就是为什么要谈论对其进行改造并进行虚拟防火墙的原因。”

一些现有的防火墙工具可以查看虚拟服务器的流量,但在其他情况下,IT则需要添加另一套特定于虚拟化的工具,这会增加管理的复杂性。 Gartner的MacDonald说,最好有一个既涵盖物理环境又涵盖虚拟环境的工具集。但是,在传统安全工具供应商赶上之前,IT部门可能需要从知名度较低的供应商那里引进工具,例如Altor Networks,Catbird Networks Inc.和HyTrust Inc.,这些工具是专门针对虚拟机定制的。

IBM的Lovejoy说,混合工具环境在短期内将是必需的。他说:“只要确保这些供应商的战略路线图与您的一致即可。” “否则,您将拥有一个具有较短保存期限的独立工具。”

虚拟网络架构

RSA Security的Mulé说,更重要的是,需要更改核心网络体系结构以适应虚拟化。他说:“在物理服务器上正常工作的网络不一定在虚拟机上工作良好。如果实施正确的路由,子网和虚拟LAN,安全性将得到提高。”他认为,虚拟化设置中的大多数业务连续性故障都可以归因于网络设计缺陷。

六旗公司的高级系统工程师Matthew Nowell使用VLAN隔离虚拟服务器。他说:“取决于我们如何设置路由规则,它们可能无法相互通信。”但是Gartner的MacDonald警告说:“仅VLAN和基于路由器的访问控制不足以实现安全隔离。”该研究公司的准则要求部署某种类型的虚拟化感知防火墙。

1 2 3 4 5 6 Page 3
第3页,共6页
  
在亚马逊上购买技术产品