扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
这种基本网络结构的变化对安全有着重大的影响,因为处于同一服务器中的虚拟机之间的通信,几乎不经过传统的物理网络平台,也就避开了传统安全工具的监控。一些标准的安全工具,如入侵防护系统,就会被隔离在这种虚拟流量之外。很多基于传统网络环境的工具,如流量捕捉、数据库及其他应用软件监控,都无法获取它们所需要的信息。而如果在所有的虚拟机里安装防火墙,所带来的CPU性能损失将无法接受。另外,现有的补丁管理工具也很难支持虚拟化系统。
为了对不同安全级别的应用作出划分,一些公司将系统划分为可信任区,非可信任区和可向公网开放的区域。比如,把一些拥有重要关键性数据的虚拟机划分到安全等级很高的区域里;而一些对安全要求不高的信息则被划分到非可信任区。这些区域采用物理方式划分,方法有很多种。限于篇幅,这里就不再赘述了。
值得注意的是,用这种划分安全区的方法来保护虚拟环境,将大大限制虚拟化的效率。企业不得不为划分这些区域而添加更多的服务器。“诚然,虚拟化带来的好处和投资回报使得它发展的异常迅速。企业用户借助虚拟化可以灵活的部署更多的数据库服务器、WEB服务器和应用服务器。”分析师Antonopoulos说,“然而我们现在也面临这样的困惑,一方面我们希望通过虚拟化来获得更高的硬件资源利用率、灵活性和投资回报,但另一方面我们也面临着很多安全性的问题。”
上文提到,在多个虚拟机中运行安全软件,将增加CPU的负载。Burton Group公司的分析师Pete Lindstrom表示:“人们一般在传统的物理服务器上部署了大量的安全工具。但如果将它部署在众多的虚拟环境里,这种应用就显得奢侈和浪费资源。”
有的公司曾尝试将一个虚拟路由服务器,架设在物理网络与虚拟机之间。这样所有虚拟机与外部的通信都会经过这个“哨卡”,以预防入侵和恶意软件。但是这样做将增加系统的复杂度,并导致网络性能的下降。也就是说,一旦面对大规模的虚拟机系统,这种牺牲性能的方法也将无所作为。
很多安全厂商都在积极推出有自己特色的虚拟系统。比如Skybox Security针对虚拟环境升级了自己的软件,在其Skybox View 4.0风险管理与网络建模套件中提供了对Juniper和Cisco虚拟防火墙的支持。该软件可以从不同的数据源,如防火墙、路由器、入侵检测系统、扫描仪、服务器和应用软件中抽取数据,然后通过它的风险模型对其进行处理,并将结果与业务目标和安全策略进行对比分析。
虚拟机蕴含的风险也在上升。这种风险不单来自于虚拟机管理程序(Hypervisor)或者虚拟软件本身,更多的还是在传统网络架构和安全控制方面。由此,虚拟化安全问题越来越引人关注。
为了帮助合作伙伴更好的完善其虚拟环境的安全特性, VMware开始倡导它的VMsafe APIs应用程序接口。VMsafe APIs允许第三方安全供应商构建监控和保护系统管理程序?。它作为一种安全应用服务,使厂商可以自行开发工具,来阻止病毒和木马,并监视网络流量,建立与虚拟机结合更紧密的一整套防御体系。目前约有二十个供应商正致力于采用VMsafe API进行虚拟化安全产品的研发,包括Check Point软件、McAfee、Symantec以及VMware母公司EMC的RSA安全系统。
分析师Lindstrom认为:“VMsafe对市场发出了一个信号,VMware公司正在采取积极的策略,与第三方安全供应商合作,来完善和改进虚拟化环境。”
但这种开源的策略本身也是一把双刃剑。“虽然安全厂商可以根据APIs与系统商??互动,从而开发出更好的安全工具。但是,攻击者也可以利用APIs开发相应的攻击软件,对系统造成更大威胁。”优利系统公司的Hoff说道。
诚然,虚拟环境的安全风险与日俱增,但是相应的解决之道也与时俱进。“针对虚拟化的安全工具正在日趋成熟。”高级顾问Hession说,“安全厂商正在不停的改进他们的相关产品。在市场的检验下,这些工具最终会成为整个网络结构的一部分。”而试图从虚拟化当中获得降本增效的公司,将加速这一进程。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。