虚拟化现在成了标准作业程序。它同时也打破了传统的防御机制,因为阻碍了可见性和控制性,带来了新的攻击途径,增加了复杂性,而且使网络团队与服务器团队之间的管理角色模糊起来。《信息周刊》杂志在2012年调查了数据中心的现状,结果显示,没有回头路可走,哪怕我们想走回头路:到明年年底之前,256名调查对象中有一半会将生产环境中至少50%的服务器进行虚拟化处理;26%的调查对象会将75%或更多比例的服务器进行虚拟化处理。所以,虚拟化安全市场的创新停滞不前颇让人遗憾。阻碍体现在两个方面:首先,虚拟机管理程序还没有遇到重大的安全事件,这让IT人士洋洋自得。其次,厂商们不愿意与VMware较量;VMware拥有市场的大部分份额,还控制着API(应用编程接口),鉴于企业界很少采用与之竞争的服务器虚拟机管理程序,VMware称得上是巨无霸。
这样一来,摆在我们面前的确保虚拟机管理程序网络安全的主要产品数量有限。其中两个产品:VMware自己的vShield和瞻博网络的vGW(虚拟网关,从Altor收购而来)使用由VMware的VMsafe安全计划提供的API。作为这个市场的另一个大佬,思杰的技术立足于专有的Nexus 1000V虚拟交换机,虽然该交换机是思科与VMware合作开发出来的,但是并不依赖VMsafe。思科还没有完全加入VMware的行列;它暗示,这项技术可以与其他虚拟机管理程序协同使用。
如果你运行非VMware虚拟机管理程序,就应该考虑Vyatta公司的Network OS产品,这款产品与思杰XenServer和红帽KVM兼容,而且与VMware的vShield Edge一样,包括NAT和DHCP服务器。Vyatta还增添了一种复杂的路由引擎,可支持IPv4和IPv6动态路由协议,比如BGP(边界路由协议)、OSPF(开放最短路径优先)和RIP(路由信息协议)。
诚然,眼下非VMware虚拟机管理程序阵营很小:对最近接受《信息周刊》杂志虚拟化管理调查的对象当中90%的人来说,某个版本的VMware是主要的虚拟机管理程序平台。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)这些开源云系统日益流行起来,这个市场会变得更有活力,变数更大。微软已经对Hyper-V作了存储和迁移方面的一些改进,目的是为了吸引企业,但是在网络安全方面还无法与VMsafe抗衡,不过第三方正在开始填补这方面的不足。另外别忽视了像前Xen架构师Simon Crosby领导的Bromium这些新兴企业,它们致力于虚拟化和云安全。一种全新的平台可能会使得安全虚拟化成为一项最低要求的功能,从而提高竞争门槛。Crosby暗示Bromium大有机会,他表示他认为五年后,大多数IT工作负载将放在云端——无论是公共云还是私有云;而虚拟机管理程序“唯一的价值将体现在安全上。”
不过眼下,VMware的vShield系列为虚拟机安全市场确立了标准。更重要的是,它实际上界定了与逻辑网络和虚拟机边界相对应的三个部分:虚拟机内部(第2层,虚拟交换机里面)、虚拟机之间(第3层,私有云中的物理主机之间)以及访客操作系统(虚拟机里面的应用程序控制导)。我们会深入探讨每一层,但这种结构是IT团队规划安全战略的良好基础。
现在靠你自己
高效的安全需要专门的技术专长,因而很少有人认为开源项目本身会为KVM或Xen提供尚可接受的安全性。虽然微软拥有为Hyper-V开发像vShield这种技术所需要的资源和人才,但它还没有这么做。瞻博网络公司的首席安全架构师Christofer Hoff说:“微软承认自己不是网络专家。”他补充说,他预计雷德蒙(注:微软总部所在地)会围绕Hyper-V精心打造一个安全生态系统,就像VMware依托VMsafe合作伙伴计划建立联盟那样。
所有虚拟安全软件存在的一个问题是,几乎不可能把一家公司自己的安全策略扩展到公共云。对采用VMware技术的公司来说,最容易的办法就是采用VMware的云管理服务:vCloud,这是VMware眼里的一种战略性优势。不过,对使用亚马逊或Rackspace云服务的公司来说,你进入到公共云后,你的虚拟化安全策略就被抛到了窗外。Hoff认为,开发一套支持多种平台和多家提供商的一致的高级安全API是虚拟化安全领域面临的下一大挑战。不过他承认,行业想就这样一套标准化的、可以互换的安全协议达成共识,还有很长一段路要走。
那么,IT人员在此之前该怎么办呢?
准备把传统防御机制和虚拟防御机制结合起来,偏向于更多地使用虚拟化。你选择的安全软件将取决于你使用哪些虚拟化平台,但是也要让你的厂商认识到:支持一系列不同的虚拟机管理程序是个卖点。如果你打算实施桌面虚拟化,更是如此:从切实可行的厂商这方面来看,桌面虚拟化市场是个广阔得多的市场。虚拟桌面基础设施(VDI)可以控制混乱的PC环境,因而更容易确保设备得到安全配置、始终如一地打上补丁。如果你在使用VDI,就可以把端点保护从访客操作系统移入到虚拟机管理程序,把独立的、基于代理软件的客户端反恶意软件系统换成端点虚拟安全设备。这样就能够大幅提升性能和可管理性。
确保服务器和网络虚拟化是你安全团队的使命和项目计划的一部分,而不是由虚拟机管理员实施的一次性工作。也不要低估了可能发生的地盘之争。正如Crosby指出的那样,虚拟安全设备暴露了棘手的控制问题,特别是由于虚拟机管理平台现在处理虚拟交换机(vSwitch)和逻辑卷,因而迅速牵涉各个工种的数据中心人员,包括安全人员、网络人员和存储配置人员。接过这些新角色的服务器管理员可能没有作好充分的准备来处理这些复杂工作。
别指望可以丢弃安全层。虚拟机安全是补充而不是取代深层防御战略的其他部分,比如边界硬件防火墙、入侵预防硬件设备和内容过滤器。
要把虚拟化纳入到你的整个安全报告框架中。连虚拟交换机和虚拟网卡等虚拟化网络设备也需要加以监控和审计,但是你又不想要另一套SEIM(安全事件管理)、网络或入侵监控和管理平台。这意味着,虚拟化安全产品必须集成到现有的网络管理和报告基础设施中,而不是作为特殊情况来对待。没有孤岛。
最后,与你的厂商加强交流。在过去的几年间,几家厂商已宣布、甚至演示了旨在为虚拟机提供网络安全的产品,但是结果重新调整了战略,或者是由于面临像思科、瞻博和VMware这些大公司的竞争,或者是由于认识到了这项任务的技术复杂性。“随着时间的推移,由于VMware不断添加功能,像Catbird和Reflex等其他厂商已经由自己单干变为向VMware看齐,”他是指提供监控、策略合规和审计的一体化虚拟机管理平台,而不是提供第2层或第3层虚拟网络安全。
我们的观点就是,我们可能会看到VMware及其他重要IT厂商(包括冠群、惠普、IBM和微软)会为各自综合的基础设施管理套件添加虚拟机管理功能,从而进军这个小众领域。
