服务器虚拟化安全管理的十个步骤

    ZDNetChina服务器站 3月13日虚拟化技术分析  2007年市场上大家关心的是数据中心在虚拟化方面的效率问题，2008年大家却开始越来越关注虚拟化的“安全性”问题了。

　　当2007年虚拟机开始大行其道的时候，许多IT部门皆表示他们会把运行速度作为首要考量。(不必惊讶，因为大部分企业都是从测试和应用开发箱入手来推进虚拟化实施的，而不是运行核心商业应用的服务器。)

　　根据IDC的调查显示，有75%规模超过1000人的企业已经开始采用虚拟化。然而Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会上预测，到2009年，60%虚拟机的安全性将大大弱于相应的物理服务器。

　　安全专家Chris Hoff指出，目前大部分关于虚拟化安全问题的探讨都是流于表面，人们通常是拿虚拟服务器与物理服务器来比较说事。的确，目前某些IT部门都犯了一种根本的错误： 他们让服务器组单枪匹马地去进行虚拟化工作 – 而把IT团队的安全、储存和网络专家关在了门外。 这将会造成与虚拟化技术或产品内在缺陷无关的安全问题。

　　的确，由于大部分IT团队推进虚拟化的速度太快，以至于他们自己有点跟不上。 倘若你没有与专家一起规划虚拟化， 那么扩展虚拟机数量并在虚拟机上运行大型应用就是一件令人担忧的事了。因为，他们根本没有足够的精力来顾及虚拟化的安全问题。

　　接下来，我们来详细看看企业打造安全虚拟化的10大步骤：

　　1. 控制虚拟机增长过快

　　创建虚拟机只要几分钟。 它们的确能很好地隔离一定程度的计算工作。 但你拥有的虚拟机越多，你所面临的安全风险就越高。 你最好能对所有的虚拟机都保持追踪。

　　要保持对虚拟机的追踪，这个时候最好的办法是先从虚拟化简单的测试和开发箱入手，继而转向小型的应用服务器， 然后逐步扩大。 的确，在部署虚拟机的时候适当遵循一定的准则是非常重要的，因为一步登天会增加很大的风险。而如果虚拟机增长过快，那么管理者对虚拟机的追踪也会变得非常困难，因此适度控制虚拟机增长的速度也相当重要。

　　虚拟机的增长过快是一个大问题，它会导致在管理、维护和生产上的落后。同时，如果你无法有效的控制虚拟机的数量，那些出乎意料的管理问题也会造成成本激增。

　　那么该如何控制服务器增长过快呢? 有一个方法： 像创建物理服务器一样地去创建虚拟服务器或虚拟机。而VMware的 VirtualCenter 管理工具与Vizioncore的工具也能帮助IT管理虚拟机的增长过快。

　　2. 将你现有的流程应用到虚拟机上

　　虚拟化最大的魅力或许就在于它的速度： 你可以在几分钟内就创建一个虚拟机，并在一天之内就为你的商业部门提供新的动力。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重，要让虚拟化成为你现有IT流程的一部分，并且将预防安全问题放在第一位。 否则，你会逐渐发现更多令人头疼的管理问题。

　　考虑虚拟化不仅要站在技术的角度，而且还要从流程出发。比方说，如果你是使用ITIL来引导你的IT流程，那么你要事先考虑如何将虚拟化融入到那个流程框架里。 如果你是使用其它IT最佳实践，也要考虑到融合的问题。

　　3. 从你现有的安全工具入手，但要保持谨慎

　　你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 不。从你现有的安全工具入手，将它们运用到虚拟环境中会更务实。 但你要给厂商一点压力，告诉他们该如何密切留意虚拟化的风险，以及如何与其它产品保持集成。

　　在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的观点， 认为市场上有些安全工具早就加入了虚拟化的概念。但是平台工具(比如VMware工具)并不是已经足够。比如在使用使用虚拟服务器来作为活动目录服务器、打印服务器、CRM应用服务器和网站服务器 – 最后这项是一个关键任务应用，继续使用防火墙和安全产品来保障安全也是非常重要的。

　　另外，还有一些软件可以保障虚拟机的安全。

　　比方说，BlueLane的VirtualShield就宣称它甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全，自动扫描潜在的问题，升级问题区域，并保护它远离远程威胁的侵害。

　　Reflex Security的Virtual Security Appliance (VSA)是少数需要引起关注的产品之一，它对虚拟入侵检测系统(IDS)尤其有用，在虚拟机所在的物理箱中为其添加了一层安全策略。 这可以防止Hypervisor免遭攻击，Abbene的团队表示。

　　4. 了解内嵌式Hypervisor的价值

　　或许你早已听说过“内嵌式”Hypervisor，这是IT管理人必须了解的词汇。 服务器上的Hypervisor层是虚拟机的根本。 VMware近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的不包含OS的应用。 (没有OS也就意味着没有OS维护上的麻烦。)

　　像DELL和HP等硬件厂商近期都表示他们会在服务器出货时预装这种内嵌式VMwareHypervisor。 基本看来，内嵌式Hypervisor因为相对较小，因为代码库越大，受攻击的可能性也越大。

　　内嵌式Hypervisor将会成为未来的一大趋势，越来越多的服务器厂商会使用它们，有些厂商以前不使用的也会使用它们。

　　Hypervisor市场的竞争与创新对企业来说未尝不是一件好事，它能激励厂商争相提供更加瘦身、智能的Hypervisor软件。

　　降低受攻击的可能性并非嵌入式Hypervisor的唯一强项。 Mazda的IT小组正期待即将到来的预置了VMware ESX server的DELL服务器，该小组期待的功能之一是所有的VM镜像都能在SAN上展现。这种集中管理与安全的方式也意味着Mazda能够订购一台没有硬盘的服务器，从而达到物理安全的目的。

　　5. 不要给虚拟机指派过度的权限

　　务必牢记，在你对虚拟机指派管理级别的访问权限时，你就等于授权访问那台虚拟机的所有数据。所以管理者一定要仔细斟酌备份管理人员需要哪些帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的。 这些厂商甚至连自己没有遵照VMware关于VMware Consolidated Backup的最佳实践来执行。

　　应用开发员的访问权限要尽量降低。 要么降低应用开发人员的访问权限，要么让他们进行共享访问，他们无法访问OS。 这帮助公司控制了虚拟机的增长，同时提高了安全性。

　　6. 注意你的储存

　　某些企业如今在SAN上的储存有些过度。 这不是总体储存太多的问题，而是你有可能让一台错误的虚拟机共享了部分的SAN。

　　如果你使用的是VMotion，那么你就等于在SAN上分配了部分区域。 你要使那些储存分配更加区位化。 N-port ID虚拟化就是一种可以让IT分配储存到虚拟机上的技术， 这是一种值得深入研究的技术。

　　7. 在网络分区中确保良好的隔离

　　随着企业走向虚拟化，他们不该忽略网络流量上与安全有关的风险。 但某些风险的确容易被忽略，尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。 许多企业仅仅使用绩效作为度量方式来加强整固， 在评估定位哪些应用服务器在物理箱中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理箱承担太多的负荷。 他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起。

　　比方说，某些CIO决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。

　　如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器。

　　Abbene说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

　　他们在内部局域网中展开虚拟服务器，不面向公众。 这是早期一个关键的决定。 比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器;那就没有必要将虚拟机引入那块领域。

　　8. 交换上的隐忧

　　某些虚拟交换机如今被当Hub来用： 在虚拟转换机中，每一个端口都被映射到其它端口上。 Microsoft Virtual Server就是这样。 而VMware的ESX Sserver则不会，Citrix XenServer也不会。

　　Microsoft声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中被解决。

　　9. 监控桌面与笔记本电脑上的“流氓”虚拟机

　　服务器并不是你唯一要担心的。 最大的隐患是在客户端 – 流氓虚拟机。 什么是流氓虚拟机? 用户能够下载并使用像VMware Player这样的免费程序，这能让桌面型和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。

　　许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来区分工作，或区分公事与私事。 有人使用VMware Player来运行多重系统;比如使用Linux作为基本系统，但是在Windows应用上创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)

　　通常，这些虚拟机甚至都没有达到补丁级别。 那些系统被暴露在网络上。 所有这些未被管理的操作系统都在到处漂浮。

　　这会给你增添很多风险，那些运行流氓虚拟机的电脑能够传播病毒，甚至传播到你的物理网络上。 比方说，人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。 最终，你将浪费大量的IT资源来追踪这些问题，它甚至只是由一个简单的用户错误所引起的。

　　那么你该如何避免流氓虚拟机呢? 你应当从一开始就控制那些拥有VMware工作站的人(因为他们需要安装虚拟机)。 IT也可以使用一个安全策略组来防止某种程度上的软件执行，比如针对那些需要安装VM player的人。 另一个选择是： 定期审查用户的硬盘。 你要找出那些装有虚拟机的电脑并将它们标记起来以备追踪。

　　这会转变成用户和IT之间的又一个冲突，技术熟练的用户希望能够象在家里一样的在公司电脑上使用虚拟机。 而大部分IT部门都疏忽了这一点。

　　如果你允许用户在电脑上安装虚拟机，那么像VMware Lab Manager和其它管理工具都能帮助IT控制并监管那些虚拟机。

　　10. 在计划预算时就考虑到虚拟化安全问题

　　确保在虚拟化安全和管理方面分配到适当的预算。 你或许不需单独列出虚拟化安全预算，但你的总体安全预算需要覆盖到这一部分。

　　同时，在你计算虚拟化投资回报的时候留意安全成本。 随着虚拟服务器的越来越多，你的安全成本或许根本不会减少，因此你要运用现有的安全工具来管理每一个你所创建的虚拟机。 如果你没有预料到这部分费用，那么它将吞噬掉你的投资回报。