全面監(jiān)測(cè) 保障虛擬服務(wù)器安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

服務(wù)器虛擬化技術(shù)是構(gòu)成未來(lái)新一代企業(yè)數(shù)據(jù)中心的重要元素之一，IT硬件性能效能的突飛猛進(jìn)，使得在一臺(tái)服務(wù)器上同時(shí)執(zhí)行多個(gè)操作系統(tǒng)、提供服務(wù)成為可能。然而，在整個(gè)環(huán)境向虛擬化環(huán)境移轉(zhuǎn)的過(guò)程中，有許多安全上的問(wèn)題也會(huì)隨之產(chǎn)生，稍有不慎就會(huì)造成危害，而影響到日常的營(yíng)運(yùn)。

許多人認(rèn)為“虛擬化是物理環(huán)境的應(yīng)用延伸，對(duì)于虛擬機(jī)的安全防護(hù)只需要采用現(xiàn)有的做法管理即可……”，這個(gè)觀點(diǎn)從某些方面來(lái)說(shuō)是正確的，但實(shí)際上物理機(jī)和物理機(jī)之間仍有著諸多差異之處，如果未能及時(shí)正視這些差異，就有可能因此產(chǎn)生安全問(wèn)題。

網(wǎng)絡(luò)架構(gòu)因虛擬化而產(chǎn)生質(zhì)變

網(wǎng)絡(luò)架構(gòu)是服務(wù)器虛擬化的過(guò)程中，變動(dòng)最大的一環(huán)，也是最有可能產(chǎn)生安全問(wèn)題的關(guān)鍵所在。尚未移轉(zhuǎn)到虛擬化之前，企業(yè)可以在前端的防火墻設(shè)備上訂立出多個(gè)非軍事區(qū)(Demilitarized Zone，DMZ)，針對(duì)不同功能的服務(wù)器個(gè)別套用合適的存取規(guī)則進(jìn)行管理，假使日后有服務(wù)器不幸遭到攻擊，危害通常也僅局限在單一個(gè)DMZ區(qū)之內(nèi)，不容易對(duì)于所有運(yùn)作中的服務(wù)器都造成影響。

虛擬化之后，所有的虛擬機(jī)器很可能就集中連接到同一臺(tái)虛擬交換器(如VMware ESX/ESXi，微軟的Hyper-V)，或者經(jīng)由“虛擬──實(shí)體”網(wǎng)卡之間的橋接(如VMware Server/Workstation，微軟的Virtual Server/PC)，與外部網(wǎng)絡(luò)進(jìn)行通訊。在這種架構(gòu)之下，原本可以透過(guò)防火墻采取阻隔的防護(hù)就會(huì)消失不見(jiàn)，Check Point臺(tái)灣區(qū)技術(shù)顧問(wèn)陳建宏就表示，屆時(shí)只要一臺(tái)虛擬機(jī)器發(fā)生問(wèn)題，安全威脅就可以透過(guò)網(wǎng)絡(luò)散布到其它的虛擬機(jī)器。

要解決上述問(wèn)題的最簡(jiǎn)單做法，就是在每一臺(tái)虛擬機(jī)器上都安裝防毒軟件，以及其它種類的資安產(chǎn)品。不過(guò)如此一來(lái)，卻又可能衍生出一些管理上的疑慮，例如應(yīng)用程序與資安產(chǎn)品之間的兼容性問(wèn)題即同樣可能在虛擬機(jī)器的環(huán)境下發(fā)生。

此外，虛擬機(jī)器安裝資安產(chǎn)品后的運(yùn)作效能，也值得企業(yè)加以注意，過(guò)去在一臺(tái)實(shí)體主機(jī)上安裝防毒軟件，幾十MB的內(nèi)存使用量不會(huì)是太大的問(wèn)題，但是在虛擬化的環(huán)境下，多臺(tái)虛擬機(jī)器累積下來(lái)，就可能占用到相當(dāng)可觀的硬件資源，因此需要尋求其它做法加以因應(yīng)解決，才能做好虛擬平臺(tái)上的安全控管。

服務(wù)器虛擬化之后，所有的虛擬機(jī)器的網(wǎng)絡(luò)卡，預(yù)設(shè)會(huì)連接在同一臺(tái)虛擬交換器上運(yùn)作，無(wú)形之間產(chǎn)生安全問(wèn)題。

從虛擬層下手?jǐn)r截安全威脅

虛擬化平臺(tái)的廠商已經(jīng)提出一套作法，像VMware在今年2月宣布釋出VMsafe的API技術(shù)，就引發(fā)很大的關(guān)注，這么一來(lái)，能夠讓資安廠商能夠開(kāi)發(fā)與VMware ESX/ESXi半虛擬化平臺(tái)相整合的資安產(chǎn)品，以便解決前面所提到的這些問(wèn)題。

VMsafe的運(yùn)作架構(gòu)相當(dāng)簡(jiǎn)單，相當(dāng)于我們?cè)诿恳慌_(tái)虛擬機(jī)器前面放置一臺(tái)安全檢查設(shè)備，去過(guò)濾進(jìn)出這些虛擬機(jī)器的所有流量，于是虛擬機(jī)器就不需要安裝任何的軟件便能得到保護(hù)，因此可以省下不少的硬件資源，而實(shí)際上，資安產(chǎn)品僅是安裝在VMware ESX/ESXi平臺(tái)之上的一臺(tái)虛擬機(jī)器而己。

其實(shí)早在2002年，國(guó)外就有人提出過(guò)相同的概念，希望結(jié)合入侵偵測(cè)防御(Intrusion Prevention System，IPS)的技術(shù)，保護(hù)虛擬機(jī)器不受破壞。

從VMware公開(kāi)的架構(gòu)圖來(lái)看，VMsafe是一個(gè)介于虛擬機(jī)器與Hypervisor之間的虛擬層，但其實(shí)，VMsafe的一部份組件是內(nèi)建于Hypervisor，其它則是寄生于廠商基于這項(xiàng)技術(shù)所開(kāi)發(fā)的資安產(chǎn)品，值得注意的是，并非所有的VMware ESX/ESXi版本都有支持這項(xiàng)技術(shù)，只有3.0版本以上的VMware ESX/ESXi才有將VMsafe的組件內(nèi)建其中。

利用VMsafe，除了能夠檢查網(wǎng)絡(luò)流量當(dāng)中可能存在的安全威脅之外，資安廠商可以收集到關(guān)于虛擬機(jī)器的硬件參數(shù)，做為安全管理上的參考依據(jù)。關(guān)于這點(diǎn)，趨勢(shì)科技技術(shù)經(jīng)理戴燊從資安廠商的角度來(lái)看，他認(rèn)為，VMsafe目前所能收集到的信息太過(guò)于底層，約略等于透過(guò)主機(jī)板BIOS所能看到的層級(jí)而己，因此很難加以有效運(yùn)用，其它與VMware合作的資安廠商也應(yīng)該發(fā)現(xiàn)到了這項(xiàng)不足之處，目前趨勢(shì)正與VMware進(jìn)行進(jìn)一步的討論，希望在未來(lái)能夠利用這項(xiàng)技術(shù)收集到更多的信息。

相關(guān)產(chǎn)品已有企業(yè)實(shí)際導(dǎo)入

目前采用VMsafe技術(shù)的資安產(chǎn)品并不多見(jiàn)，許多仍處于開(kāi)發(fā)，或者是測(cè)試中的階段。Check Point所推出的VPN-1 VE(Virtual Edition)防火墻就是最早出現(xiàn)在市面上的產(chǎn)品之一，目的是隔離不必要的網(wǎng)絡(luò)聯(lián)機(jī)進(jìn)入虛擬機(jī)器內(nèi)部，造成安全問(wèn)題。

另外，趨勢(shì)預(yù)計(jì)在今年第4季推出一款，同樣是整合VMsafe技術(shù)的資安產(chǎn)品──Total Discovery Virtual Appliance(TDVA)，它是實(shí)體設(shè)備Total Discovery的虛擬化版本，就功能來(lái)說(shuō)，主要是用來(lái)抑制惡意程序在虛擬化的作業(yè)平臺(tái)上活動(dòng)，產(chǎn)品目前已經(jīng)開(kāi)發(fā)完畢，等到通過(guò)VMware官方的兼容性驗(yàn)證之后就會(huì)開(kāi)始銷售。

賽門(mén)鐵克在今年9月在美國(guó)拉斯韋加斯舉行的VMworld大會(huì)當(dāng)中，展示了一款采用VMsafe技術(shù)所開(kāi)發(fā)的防毒墻原型，它在虛擬機(jī)器沒(méi)有安裝防毒軟件的情況下，能夠檢查進(jìn)出流量當(dāng)中是否含有惡意程序。

除了上述產(chǎn)品之外，類似的產(chǎn)品還包括了Reflex Security的VSA(Virtual Security Appliance)，這是一款可以安裝在VMware ESX/ESXi，以及Citrix XenServer平臺(tái)的IPS產(chǎn)品，早在2005年的時(shí)候就已經(jīng)有產(chǎn)品推出。

從架構(gòu)上來(lái)看，VSA主要是把透過(guò)監(jiān)聽(tīng)流量為主的旁路模式，以及兼具流量過(guò)濾、檢測(cè)的透通模式保護(hù)虛擬機(jī)器的運(yùn)作安全。以透通模式來(lái)說(shuō)，探測(cè)器(Sensor)必須設(shè)置于受到保護(hù)的虛擬機(jī)器前方才能正常運(yùn)作。

在ESX的平臺(tái)之上，至少需要設(shè)置兩臺(tái)的虛擬交換器，其中一臺(tái)連接外部的實(shí)體網(wǎng)絡(luò)，另外一臺(tái)交換器則放置于后端，提供給虛擬機(jī)器聯(lián)機(jī)之用，并與前端的交換器之間形成橋接，探測(cè)器就位于兩者之間，目的是為了檢測(cè)來(lái)往于兩臺(tái)交換器之間的網(wǎng)絡(luò)聯(lián)機(jī)是否異常。

唯有經(jīng)過(guò)檢測(cè)，確認(rèn)安全無(wú)虞的網(wǎng)絡(luò)流量才能與虛擬機(jī)器進(jìn)行聯(lián)機(jī)，同樣地，虛擬機(jī)器所發(fā)出的流量也必須經(jīng)過(guò)VSA的檢查之后，才能經(jīng)由前端的虛擬交換器傳送到實(shí)體網(wǎng)絡(luò)。

Reflex亞太市場(chǎng)暨銷售總監(jiān)黃彥鈞表示，目前這款產(chǎn)品在臺(tái)灣已經(jīng)有實(shí)際的導(dǎo)入案例，一家位于園區(qū)的高科技業(yè)者，隨著去年購(gòu)買(mǎi)IPS設(shè)備的機(jī)會(huì)，同時(shí)也采購(gòu)了好幾套的VSA。

黃彥鈞指出，一般企業(yè)在建置IPS設(shè)備的時(shí)候，大多會(huì)放置在進(jìn)出流量必經(jīng)的網(wǎng)絡(luò)骨干上，防止來(lái)自于外部網(wǎng)絡(luò)的惡意聯(lián)機(jī)攻擊內(nèi)部主機(jī)，不過(guò)隨著近年來(lái)內(nèi)部攻擊事件的大量增加，許多企業(yè)也開(kāi)始在內(nèi)部放置IPS，主要是用來(lái)保護(hù)DMZ區(qū)的服務(wù)器不受來(lái)自于內(nèi)部惡意攻擊所影響，而這家不具名的企業(yè)就是其中之一。

微軟本身也是虛擬化技術(shù)的主要供貨商之一，隨著Hyper-V服務(wù)器的推出，據(jù)了解，某些資安廠商也會(huì)隨之推出相關(guān)的虛擬化安全產(chǎn)品，同樣將整合Hyper-V的Hypervisor提供保護(hù)。（IT專家網(wǎng)）