打造全面安全的虚拟化方案
- 来源:计算机世界
- 关键字:虚拟化,安全,IT
- 发布时间:2011-12-01 13:34
虚拟化在资源利用率、方便性、可管理性等方面的优势日渐凸显,因此越来越多的企业对自己的IT系统都开始了虚拟化改造。但是,虚拟化在带来各种便利的同时,也增加了安全风险。因此只有充分了解系统虚拟化之后在安全方面发生的变化,才能部署相应安全措施,做到趋利避害,化解因虚拟化带来的安全风险。
一个典型的企业网络架构(如图)往往都分为内网和外网,其中内网区域中有多种业务系统,如用于登录认证的Radius服务器和动态目录(AD)服务器、办公自动化(OA)系统和企业管理系统服务器、内部Web和文件共享服务器等;外网区域中有像企业门户网站这样的面对公众服务的业务系统等。
针对这样的网络架构,企业用户虚拟化多分为服务器虚拟化、网络虚拟化、存储虚拟化、桌面虚拟化四个领域。服务器虚拟化主要任务是将多个物理服务器用虚拟机的方式整合到一个物理主机上,从而提高系统的兼容性,提高设备利用率和管理效率,降低能耗。网络虚拟化不是新概念,VLAN和VPN都是网络虚拟化的具体体现,也早已被广泛应用,同时它也是服务器虚拟化的基础。存储虚拟化是将分散的存储资源整合在一起,形成一个统一的存储池。在很多企业中,还实现了桌面虚拟化,即将用户终端环境在服务器端虚拟化实现,通过虚拟化交付协议呈现在客户端界面上。
理清虚拟化的衍生风险
企业信息系统在虚拟化改造之后带来一些新的风险,这些风险是新技术的必然产物,其表现形式与传统网络环境中的风险类似。下文罗列的风险只涵盖了因虚拟化所衍生的新风险,而不涉及虚拟机内部与传统网络环境中完全一样的风险,例如虚拟机被植入僵尸程序后发动拒绝服务攻击。
1.漏洞和配置错误
如同传统的IT系统一样,虚拟化系统中也存在大量漏洞,一部分漏洞存在于虚拟机上,另一部分则属于Hypervisor。而且,虚拟化系统中也同样会有配置错误的情况。
Hypervisor上常见的配置错误包括:虚拟机集群非常庞大的情况下多个虚拟网络的配置;对于虚拟机之间通讯的配置存在错误;对Hypervisor管理接口的访问限制的配置不够严格;对虚拟机可访问物理接口(磁盘驱动器和网络适配器等)的配置错误。
当虚拟机上存在漏洞,使得攻击者完全控制一个虚拟机后,通过利用各种Hypervisor安全漏洞,可以进一步渗透到Hypervisor甚至其它虚拟机中。这就是所谓的逃逸威胁,同时还可能导致数据泄露以及针对其它虚拟机的拒绝服务攻击。
2.脆弱的身份认证
在传统网络环境中,各业务系统是分立的,管理员口令和密码也是单独的。即使口令被暴力破解,影响面也比较小。而在虚拟化环境中,如果虚拟化管理系统的管理员口令被暴力破解,将会影响到整个虚拟化网络。因此在虚拟化环境中使用用户名和口令进行本地认证,其风险非常高。
3.监管障碍
实现虚拟化后,一方面会造成网络流量监控的盲点,因为在传统网络环境中,基于区域(Zone)划分保护的硬件防火墙,以及基于行为特征分析的IDS/IPS对整个网络防护(从外到内、从内到外、从内到内等通信)起关键作用。但在虚拟化环境中,同一物理机上各虚拟机之间通信流量根本不经过这些网络安全设备,这显然是网络安全防护中的盲点;另一方面使得整个系统的安全边界模糊化,传统的安全域有明确的物理边界,而在虚拟化环境下,这种安全边界变得模糊起来,同一物理主机上有多个属于不同安全域的节点。
4.数据残留风险
数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重新恢复。在虚拟化环境中,因为存储资源和计算资源的公共共享,数据残留有可能会无意泄露敏感信息。在企业网络环境中,这种风险相对要小很多。
应对虚拟化的风险
为了应对虚拟化的衍生风险,需要从技术、管理、人员等几个方面考虑安全方案和策略。不但要增加必要的技术手段,覆盖因虚拟化产生的管理盲区。而且要调整管理流程并加强人员培训,以适应虚拟化环境下的新要求。与传统网络环境的安全管理类似,虚拟化信息体系的安全管理也需要从变更管理、异常监控、攻击防护、访问控制、身份认证、行为审计、通讯加密、追踪取证、数据管理等方面入手。
1.变更管理
变更管理的任务包括:及时安装Hypervisor和虚拟机的各种更新和补丁;正确配置系统Hypervisor和虚拟机的各种设置选项(如与可信任的授权时钟服务器同步、虚拟机之间通讯的配置、虚拟机对物理接口访问的配置、虚拟机集群配置、Hypervisor的隐形化处理等);监控系统配置的变化,防止非法篡改。
在实际案例中,可以采用VMwarevSphereUpdateManager和VMwarevCenterConfigurationManager作为变更管理的工具。UpdateManager可以安全地修补离线虚拟机,即在非启动的状态下直接修改镜像文件中的二进制文件,然后再保存,而无需将其暴露在网络上,从而降低了生产环境中非遵从虚拟机造成安全问题的风险。ConfigurationManager可以对系统进行策略驱动的变更检测,并识别变更是否在策略范围内。这些策略是基于整个行业规范的预期的可接受行为或自定义的最佳实践。
2.异常监控与攻击防护
对虚拟机的监控包括性能和流量两个方面。在虚拟化环境中,由于虚拟机的通信是通过虚拟交换完成的,这部分网络通信无法像传统网络中那样通过监听或嗅探获得,因此必须找到一种监控虚拟机网络流量的手段,并对这些流量进行分析并及时发现异常。对虚拟机的性能监控情况也是类似,需要在Hypervisor层部署相应的监控代理才能获得每个虚拟机的性能情况。对于硬件性能的监控,需要虚拟化平台自身提供相应的支持。
对虚拟环境的攻击防护分为两方面:一方面防止从外部对整个虚拟化系统进行DDoS攻击防护。另一方面要防止某个虚拟机对其它虚拟机进行攻击。因此需要对不同虚拟机集群以及不同的虚拟机之间采取安全防护和隔离措施。
3.访问控制与身份认证
虚拟化平台自身通常都带有访问控制组件,例如VMwarevCenterServer提供一个单一控制点。它还提供与活动目录的访问接口,与活动目录相连以获得用户访问控制信息。为防止对虚拟机和Hypervisor的访问认证被暴力破解,甚至在某些认证安全等级要求较高的场合,可以考虑采用数字证书的方式实现身份认证。此外,还可以通过防火墙等访问控制机制,限制远程Hypervisor的管理访问。
4.镜像管理、灾难恢复与追踪取证
虚拟化环境下的镜像管理包括:对镜像文件和快照的访问进行严格控制,防止非授权访问;进行加密校验来判断镜像是否被篡改;保存一份好的GuestOS镜像备份,以便在虚拟机被攻陷或镜像文件损坏后,使用备份的镜像文件快速恢复;一旦确定虚拟机被攻陷,应对被攻陷的虚拟机操作系统进行研究,查找恶意软件;对被攻陷的虚拟机应立即封装映像文件并留下快照,形成司法证据并作为后续攻击机制分析的资料线索。
5.管理策略与风险评估
虚拟化安全管理是一项系统性工作,仅靠一些技术手段无法保证安全运行,还要结合一些管理规定和策略,以及必要的人员培训,才能最终达到安全保证的要求。
所以虚拟化改造以后,需要对原有的安全管理流程和规定重新梳理,以适应新的网络环境要求。例如,应对虚拟化环境应制定应急预案,以确保在灾难发生时,能迅速应对。
对虚拟化环境的安全管理,还应包括定期的风险评估工作。主要的评估项目包括:日志审计、漏洞扫描、渗透测试、配置核查、镜像文件一致性核查等内容。这些评估项目在传统IT环境中已经存在,所不同的是需要针对虚拟化环境的特殊性进行相应的调整。
中国南车股份有限公司 杜林明
作者简介
杜林明,毕业于北京交通大学,专业为管理信息系统。就职于南车眉山车辆有限公司信息中心,2001年至今在中国南车股份有限公司信息技术部,现任中国南车股份有限公司信息技术部处长。
……
一个典型的企业网络架构(如图)往往都分为内网和外网,其中内网区域中有多种业务系统,如用于登录认证的Radius服务器和动态目录(AD)服务器、办公自动化(OA)系统和企业管理系统服务器、内部Web和文件共享服务器等;外网区域中有像企业门户网站这样的面对公众服务的业务系统等。
针对这样的网络架构,企业用户虚拟化多分为服务器虚拟化、网络虚拟化、存储虚拟化、桌面虚拟化四个领域。服务器虚拟化主要任务是将多个物理服务器用虚拟机的方式整合到一个物理主机上,从而提高系统的兼容性,提高设备利用率和管理效率,降低能耗。网络虚拟化不是新概念,VLAN和VPN都是网络虚拟化的具体体现,也早已被广泛应用,同时它也是服务器虚拟化的基础。存储虚拟化是将分散的存储资源整合在一起,形成一个统一的存储池。在很多企业中,还实现了桌面虚拟化,即将用户终端环境在服务器端虚拟化实现,通过虚拟化交付协议呈现在客户端界面上。
理清虚拟化的衍生风险
企业信息系统在虚拟化改造之后带来一些新的风险,这些风险是新技术的必然产物,其表现形式与传统网络环境中的风险类似。下文罗列的风险只涵盖了因虚拟化所衍生的新风险,而不涉及虚拟机内部与传统网络环境中完全一样的风险,例如虚拟机被植入僵尸程序后发动拒绝服务攻击。
1.漏洞和配置错误
如同传统的IT系统一样,虚拟化系统中也存在大量漏洞,一部分漏洞存在于虚拟机上,另一部分则属于Hypervisor。而且,虚拟化系统中也同样会有配置错误的情况。
Hypervisor上常见的配置错误包括:虚拟机集群非常庞大的情况下多个虚拟网络的配置;对于虚拟机之间通讯的配置存在错误;对Hypervisor管理接口的访问限制的配置不够严格;对虚拟机可访问物理接口(磁盘驱动器和网络适配器等)的配置错误。
当虚拟机上存在漏洞,使得攻击者完全控制一个虚拟机后,通过利用各种Hypervisor安全漏洞,可以进一步渗透到Hypervisor甚至其它虚拟机中。这就是所谓的逃逸威胁,同时还可能导致数据泄露以及针对其它虚拟机的拒绝服务攻击。
2.脆弱的身份认证
在传统网络环境中,各业务系统是分立的,管理员口令和密码也是单独的。即使口令被暴力破解,影响面也比较小。而在虚拟化环境中,如果虚拟化管理系统的管理员口令被暴力破解,将会影响到整个虚拟化网络。因此在虚拟化环境中使用用户名和口令进行本地认证,其风险非常高。
3.监管障碍
实现虚拟化后,一方面会造成网络流量监控的盲点,因为在传统网络环境中,基于区域(Zone)划分保护的硬件防火墙,以及基于行为特征分析的IDS/IPS对整个网络防护(从外到内、从内到外、从内到内等通信)起关键作用。但在虚拟化环境中,同一物理机上各虚拟机之间通信流量根本不经过这些网络安全设备,这显然是网络安全防护中的盲点;另一方面使得整个系统的安全边界模糊化,传统的安全域有明确的物理边界,而在虚拟化环境下,这种安全边界变得模糊起来,同一物理主机上有多个属于不同安全域的节点。
4.数据残留风险
数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重新恢复。在虚拟化环境中,因为存储资源和计算资源的公共共享,数据残留有可能会无意泄露敏感信息。在企业网络环境中,这种风险相对要小很多。
应对虚拟化的风险
为了应对虚拟化的衍生风险,需要从技术、管理、人员等几个方面考虑安全方案和策略。不但要增加必要的技术手段,覆盖因虚拟化产生的管理盲区。而且要调整管理流程并加强人员培训,以适应虚拟化环境下的新要求。与传统网络环境的安全管理类似,虚拟化信息体系的安全管理也需要从变更管理、异常监控、攻击防护、访问控制、身份认证、行为审计、通讯加密、追踪取证、数据管理等方面入手。
1.变更管理
变更管理的任务包括:及时安装Hypervisor和虚拟机的各种更新和补丁;正确配置系统Hypervisor和虚拟机的各种设置选项(如与可信任的授权时钟服务器同步、虚拟机之间通讯的配置、虚拟机对物理接口访问的配置、虚拟机集群配置、Hypervisor的隐形化处理等);监控系统配置的变化,防止非法篡改。
在实际案例中,可以采用VMwarevSphereUpdateManager和VMwarevCenterConfigurationManager作为变更管理的工具。UpdateManager可以安全地修补离线虚拟机,即在非启动的状态下直接修改镜像文件中的二进制文件,然后再保存,而无需将其暴露在网络上,从而降低了生产环境中非遵从虚拟机造成安全问题的风险。ConfigurationManager可以对系统进行策略驱动的变更检测,并识别变更是否在策略范围内。这些策略是基于整个行业规范的预期的可接受行为或自定义的最佳实践。
2.异常监控与攻击防护
对虚拟机的监控包括性能和流量两个方面。在虚拟化环境中,由于虚拟机的通信是通过虚拟交换完成的,这部分网络通信无法像传统网络中那样通过监听或嗅探获得,因此必须找到一种监控虚拟机网络流量的手段,并对这些流量进行分析并及时发现异常。对虚拟机的性能监控情况也是类似,需要在Hypervisor层部署相应的监控代理才能获得每个虚拟机的性能情况。对于硬件性能的监控,需要虚拟化平台自身提供相应的支持。
对虚拟环境的攻击防护分为两方面:一方面防止从外部对整个虚拟化系统进行DDoS攻击防护。另一方面要防止某个虚拟机对其它虚拟机进行攻击。因此需要对不同虚拟机集群以及不同的虚拟机之间采取安全防护和隔离措施。
3.访问控制与身份认证
虚拟化平台自身通常都带有访问控制组件,例如VMwarevCenterServer提供一个单一控制点。它还提供与活动目录的访问接口,与活动目录相连以获得用户访问控制信息。为防止对虚拟机和Hypervisor的访问认证被暴力破解,甚至在某些认证安全等级要求较高的场合,可以考虑采用数字证书的方式实现身份认证。此外,还可以通过防火墙等访问控制机制,限制远程Hypervisor的管理访问。
4.镜像管理、灾难恢复与追踪取证
虚拟化环境下的镜像管理包括:对镜像文件和快照的访问进行严格控制,防止非授权访问;进行加密校验来判断镜像是否被篡改;保存一份好的GuestOS镜像备份,以便在虚拟机被攻陷或镜像文件损坏后,使用备份的镜像文件快速恢复;一旦确定虚拟机被攻陷,应对被攻陷的虚拟机操作系统进行研究,查找恶意软件;对被攻陷的虚拟机应立即封装映像文件并留下快照,形成司法证据并作为后续攻击机制分析的资料线索。
5.管理策略与风险评估
虚拟化安全管理是一项系统性工作,仅靠一些技术手段无法保证安全运行,还要结合一些管理规定和策略,以及必要的人员培训,才能最终达到安全保证的要求。
所以虚拟化改造以后,需要对原有的安全管理流程和规定重新梳理,以适应新的网络环境要求。例如,应对虚拟化环境应制定应急预案,以确保在灾难发生时,能迅速应对。
对虚拟化环境的安全管理,还应包括定期的风险评估工作。主要的评估项目包括:日志审计、漏洞扫描、渗透测试、配置核查、镜像文件一致性核查等内容。这些评估项目在传统IT环境中已经存在,所不同的是需要针对虚拟化环境的特殊性进行相应的调整。
中国南车股份有限公司 杜林明
作者简介
杜林明,毕业于北京交通大学,专业为管理信息系统。就职于南车眉山车辆有限公司信息中心,2001年至今在中国南车股份有限公司信息技术部,现任中国南车股份有限公司信息技术部处长。
关注读览天下微信,
100万篇深度好文,
等你来看……