随着虚拟化不断盛行起来,中小企业(SMB)逐渐开始加大对虚拟化的投入。由于中小企业整体实力较为薄弱,资金少,IT基础设施不够健全,因此借用虚拟化技术来帮助企业减少开支、提高效率、增强竞争力,就显得理所当然。可很多人却只会停留在虚拟化技术一个层面,并没有全面考虑到虚拟化技术所应重视的安全问题。
正所谓“开开心心上班,平平安安回家”,如果仅仅重视虚拟化技术在中小企业中的具体应用,而完全忽视了虚拟化应用过程中所带来的安全问题,则多少有些“五音不全”,毕竟“皮之不存毛将焉附”。
在说明虚拟化安全问题之前,我们先来了解当前虚拟化和虚拟化安全的概括。根据调查发现,虚拟化在大部分企业中并不是IT生产环境中的标准部署(如下图)。只有34.2%的企业对超过50%的IT系统进行了服务器部署,而部署比例达到或者超过70%的企业只有11.4%。
企业虚拟化水平
而计划2012年底前实施虚拟化的应用中,绝大部分都把精力放在服务器虚拟化和存储虚拟化方面(如下图)。在2012年底,将有50.8%的企业会实现超过50%的服务器虚拟化部署,而存储虚拟化部署的企业用户将达33.3%,并且其虚拟化程度也将超过50%。
截止2012年底不同署虚拟化应用部署情形
而在关于虚拟化安全方面的调查发现,有19.3%的企业认为经验和技术的不足会影响虚拟化安全的规划和实施。而在具体的影响虚拟化安全实现的因素当中,预算和前期投入也是一个十分重要的因素,另外虚拟化环境和平台的安全管理的复杂性,也是一个突出的问题。当然,这一点也不奇怪,因为安全问题本身是需要前期投入的,因此在部署虚拟化的时候往往容易被企业用户忽视。
制约虚拟化安全的因素
其实复杂性问题归结为两点:首先是整体上的复杂性——相比较传统的物理环境,虚拟环境下管理安全性会变得更为复杂。因为虚拟化会促使更多的系统出现,应用程序和数据会在不同的主机系统之间进行迁移和蔓延。其次是跨虚拟平台和环境(不同服务商提供)的安全管理复杂性。异构虚拟化环境下安全管理的支持(根据现实中虚拟化的地位问题和结果)是成功部署的关键所在。
大部分企业都在寻找某种整合的解决方案,既帮助管理物理环境,又能帮助管理虚拟环境。有数据显示,83.8%的企业偏向于选择既能满足物理环境又能满足虚拟环境的管理解决方案。这也就意味着,不存在专为“虚拟化安全”的独立市场。不过,那些传统安全厂商可以通过现有IT安 全管理解决方案增加附加值来实现虚拟化安全。
中小企业对虚拟化安全方案的偏好选择
另外,有关虚拟化安全方面的挑战和问题的重要性,也备受人们的关注。其中最受人们关注的是“数据蔓延”,比如在没有得到有效控制的情 形下数据迁移至不够安全的环境中的风险。有调查数据显示,41.7%的企业用户认为这一点十分重要。紧接着数据蔓延的就是完善法规和审计规范。
虚拟化安全带来的挑战及其重要性
另外,34%的用户认为IT资产实现虚拟化后的业务风险评估也非常重要,持有“非常重要”和“重要”观点的用户总共大概有78.8%的企业。这也就意味着,业务风险和IT风险之间有着紧密的联系。
IT基础设施的根本性转变,比如基础设施实施虚拟化的迁移,可能会对业务的发展带来积极或者消极的影响。因此,了解业务影响特别是潜在风险——比如此前所提的数据蔓延,就会显得十分重要。
虚拟化安全并不是一个孤立的技术问题,而是需要根据业务需求和风险情况,与现有的IT安全举措进行集成。因此,中小企业需要做的是在已有的基础上进行扩充,而不是专门为虚拟化环境而重塑安全。然而,未来更好地管理分布式环境和减轻数据和服务器蔓延的风险,需要有某些特定功能来支持。
虚拟化环境下特权用户带来的风险
上图中,展示了虚拟化环境下人们所关注的第一组问题——特别是特权用户带来的风险问题。特权用户指权限获得提升的用户,如管理员、操作员以及技术用户和其他类型的用户。根据调查发现,企业对风险的看法与对此采取的措施存在显著差异。几乎有四分之三(73.2%)的企业关注hypervisor提供的优先特权以及由此带来的潜在滥用问题。
Hypervisor的管理帐户拥有广泛的特权,由此,它会使得虚拟化环境出现一个新的攻击窗口,并可以通过特权用户的滥用行为将该窗口进行打开。在虚拟化环境下,这与权利的滥用有着十分紧密的关系——在某些情况下,甚至很难跟踪到这些特权用户的滥用行为。因此,引入PXM (Privileged Account/Identity/User Management,特权账户/身份/用户管理),在虚拟化和云环境中显得更加必不可少,以满足法规遵从要求,并减轻这些环境风险。
虚拟化安全属于IT战略中的一个组成部分,它其实并不是安全解决方案,只是对虚拟化环境提出了更高更多的管理要求。下面,具体介绍如何实现虚拟化安全:
隔离平台
虚拟化可以打通一切硬件资源的条块分割实现互通有无,对于虚拟机来说,它们不能进行相互通信(除非通过网络),而且资源会受到严格控制。对于虚拟交换机来说,不存在网络共享的机制,但完全具备支持VLAN layer-2交换机的功能。
隔离平台
隔离平台的主要目的在于,一旦发生紧急情况,可以最大程度地避免整个虚拟化环境系统的破坏,另外,也有助于虚拟化安全管理。在此基础上,使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。
保护虚拟机
中小企业虚拟化安全,更多的是需要考虑到虚拟机的安全。用户需要确保在不同虚拟机之间,用防火墙进行隔离和保护,而且要制定统一规范 的安全政策,未经授权或者未知来源都一律禁止访问。在单个虚拟机上(包括物理主机),则需要安装防病毒工具并保持更新。而对于此前提到过的特权用户问题,特别需要注重管理。在利用特权用户管理虚拟机的时候,特别要重视虚拟机端口和远程访问,禁用不使用的网络端口,严格限制远程访问。
寻找专业技术顾问
中小企业部署虚拟化,本身就是一个艰巨浩大的工程,对于这些实力较为弱小的企业用户来说,依靠自身力量往往很难对虚拟化环境进行充分保护。在这样的情况下,中小企业可以考虑采用外包的形式,将虚拟化和虚拟化安全统一打包给专业的第三方进行统一管理。
另外,也需要加强企业内部IT管理员的技术培训和规范操作,强化风险意识和安全观念,在考虑到虚拟化安全的同时,也不能忽视了物理主机和网络的安全防护工作。
