伺服器虛擬化安全優化五大策略

操作方法

（01）伺服器虛擬化技術成為當前資料中心的主流發展方向。伺服器虛擬化技術提高了可用性，減少IT成本和支援未來的業務增長。然而，伺服器虛擬化技術由此帶給資料中心的伺服器安全問題也不容忽視。企業保護自己的虛擬伺服器環境的安全是非常重要的，特別是虛擬化不僅已經在伺服器中更普遍的應用，而且在儲存、作業系統、臺式電腦和網路資源等方面也在廣泛應用。虛擬服務安全的主要問題，以及如何更好地控制這些問題，同時為虛擬化進一步向資料中心普及做好準備。1、解除伺服器虛擬化安全隱患之管理、責任和政策管理虛擬化的主要問題是誰負責虛擬資源。與物理伺服器不同，物理伺服器由在這個物理區域的管理員直接負責，虛擬伺服器的責任通常是不明確的。當涉及到虛擬化的時候，會出現如下問題：誰負責、誰應該擁有訪問權、誰應該配置和保證這個環境的安全?這個責任是應該由業務部門、伺服器管理員還是一個集中的主管理員負責?當設法解決這些問題時，遵循的一個簡單的規則是對待重要的虛擬伺服器應該像對待物理伺服器一樣採取同樣的控制措施。例如，如果你沒有把你的SAP伺服器的根口令提供給主要管理員以外的其他人，對於你的虛擬SAP伺服器也要制定同樣的規則。應用安全虛擬解決方案定義和管理整個新的環境中的政策。當遇到虛擬安全的問題時，IT管理員需要制定正確的政策安全地保護自己的系統。然而，這些政策必須足夠靈活以保證它們沒有太多的限制。IT管理員需要詢問使用當前的安全政策是否可以實現伺服器虛擬化的全部好處。一個理想的解決方案是通過保證虛擬化不繞過現有的安全控制措施讓使用者保持對自己的基礎設施的控制。這需要高水平的集中批准和控制。2、解除伺服器虛擬化安全隱患之遵守法規隨著一些虛擬伺服器變成擁有極少控制的看不見的網路，就會出現遵守法規的問題。對於沒有專門負責監視每一臺主機內部虛擬機器的全部互動情況的資料中心管理員來說，這是很成問題的。隨著虛擬化繼續向主流應用發展，有許多遵守法規的強制規定將不可避免地影響到虛擬化的應用。例如，這些遵守法規的強制規定之一是PCI-DSS(支付卡行業資料安全標準)。在零售行業，定義信用卡處理的規定(PCI-DSS要求2.2.1)要求企業每臺伺服器僅執行一項功能。這使人們對這個規定有許多解釋。有些零售商也許把這個規定解釋為每臺物理伺服器僅執行一項任務。有些企業僅把這項規定嚴格地限制在部署虛擬伺服器方面。由於標準含糊不清，單個的企業正在採取不同的方式使用虛擬化技術處理信用卡資訊。這會暴露持卡人的資料和沒有使用新的行業規定遵守法規，從而引起企業的風險。使用一個有經驗的綜合者解決這個問題。PCI安全標準委員會最近恢復了一個特別興趣組，以澄清審計人員和使用者在虛擬化方面遇到的一些問題。這個興趣組將在2009年年底之前提供第一輪建議。在處理伺服器虛擬化的遵守法規的問題，企業需要理解自己的風險。建立一個安全的審計跟蹤作為遵守內部和外部審計者規定的證明，實時報警和聯合流程仍是虛擬環境優先考慮的事情。如果一家公司能夠現實地處理自己的風險，它就很容易解決審計者擔心的問題並且保證能夠修復任何問題。隨著他們允許機構保持老式的服務、作業系統和應用程式，同時繼續推進資料中心優化的努力，虛擬機器將更加流行。因此，沒有一個管理這些老式系統的撤銷過程的明確的計劃，就會存在風險並且會給企業帶來新的重大安全風險。有一種推測認為，老式系統中使用的安全措施能夠在虛擬化環境中提供同樣的安全保護。企業把老式的安全措施當作安全系統是不安全的，不會以同樣的方式發揮作用，從而使企業容易遭到安全攻擊。3、解除伺服器虛擬化安全隱患之保證虛擬化安全並監視虛擬化把伺服器虛擬化推廣到生產環境的一個重要挑戰是保證平臺的安全並且進行監視以便解決安全漏洞。與在裸機上執行的作業系統/應用程式不同，在一個虛擬化平臺上執行的虛擬機器是這個系統的活動部件。虛擬機器管理員能夠複製和把虛擬機器映象從一臺伺服器遷移到另一臺伺服器，在遷移中攜帶那個虛擬機器、作業系統和支援的應用程式等全部內容。IT部門還能夠在執行狀態暫停、拷貝和把虛擬機器從一臺伺服器遷移到另一臺伺服器。當然，這種靈活性還會產生安全漏洞。隨著虛擬機器的不斷的上線和下線，或者根據需要從一臺伺服器遷移到另一臺伺服器，安全控制措施需要反映這些變化。此外，隨著虛擬機器從一臺伺服器遷移到另一臺伺服器，這些虛擬機器也許會為傳統的防火牆檢測不到的危險和攻擊敞開大門。處理這種安全漏洞的一個理想的方法是利用高階記錄事件管理技術。這使企業能夠監視各種虛擬化基礎設施元件以便檢測虛擬化平臺中將發生什麼事情。這包括監視具體的事件、失敗的登入和其它可以認為是違法政策的活動。這種技術還能夠讓機構詳細地理解有許可權的使用者能夠對單個虛擬機器做什麼。由於虛擬機器的設定和執行時間都比傳統的物理伺服器更短暫，這將引起額外的擔心。這產生了一些風險情況。在這種情況中，虛擬機器不可能上線進行安全掃描、升級和使用補丁。當發生故障的時候，找到故障原因也是很困難的，因為虛擬機器不斷地建立和撤銷，快照和檢查點經常退回重來。機構部署目前可用的軟體管理解決方案管理離線虛擬機器和物理伺服器以避開這些安全問題是非常重要的。由於資料中心的虛擬機器數量比物理伺服器的數量多，保證這些虛擬機器避免遭到病毒攻擊是比較複雜的。由於虛擬機器數量更多，病毒能夠成倍地傳播，攻擊的伺服器數量要把純物理伺服器環境中攻擊的伺服器數量多。傳統的網路管理工具看不到虛擬機器與虛擬機器之間的通訊。要在這種情況下提供幫助，不同物理伺服器上的虛擬機器池需要在自己的專用網路上相互溝通，能夠完全訪問共同身份識別和加密等安全功能。虛擬機器映象將保留在檔案中。結果，由於這些檔案很容易複製，這就增加了風險。有一些可用的選擇可以管理這些特殊問題。虛擬機器映象本身中的祕密資料不應該輕鬆地訪問。最起碼的是企業應該加密這些資料或者把這些資料儲存到其它的儲存位置(這可以是虛擬的或者物理的)。此外，加強管理來自網路的虛擬機器映象能夠更嚴格進行控制，保證最低限度地訪問這些映象和增加身份識別。4、解除伺服器虛擬化安全隱患之虛擬機器蔓延和移動許多企業日益擔心虛擬機器蔓延問題。除了日益增加的管理複雜性和日益提高的資料中心成本之外，人們還日益擔心缺少可用的控制措施避免業務部門經理自己創新大量新的虛擬伺服器。使這種擔心更加嚴重的是這些新的伺服器也許是在沒有保證適當管理和安全的情況下建立的。與虛擬機器蔓延和輕鬆地在物理伺服器之間遷移虛擬機器有關的一個重要問題是支援環境的可持續性。這個主要問題是不同的虛擬機器工作量通常有不同的與儲存、計算和網路有關的要求。控制這個風險需要明確地關聯虛擬機器工作量和適當的要素分類，以及確保維持必要的安全態勢。當考察軟體管理解決方案的時候，企業有必要評估他們支援基於政策的向這個環境動態分配虛擬機器的能力。這種能力通常稱作“沙箱”。沙箱是隔離執行的應用程式的一種安全機制。沙箱經常用來執行沒有經過測試的程式碼或者沒有經過驗證的第三方、供應商或使用者的應用程式。這種方法通過阻止應用程式向沙箱外部寫資料的方法來保證應用程式的安全，阻止進入系統的病毒和其它惡意活動進行破壞。保持所有相關活動的審計記錄也是非常重要的。一個有關正在執行的情況的漫遊快照能夠讓管理員回去進行驗證、優化和監視使用者活動， 並且保持一個準確的快照。通過執行在同一個沙箱中的與遵守法規有關的應用程式，與其它更普通的應用程式隔離開，企業能夠減少資料洩漏的風險。這允許企業保持一個適當的安全態勢並且根據傳統的資料分類按照政策隔離虛擬機器。為了減少虛擬機器蔓延，企業應該利用一些時間培訓管理員有關虛擬基礎設施開發、管理和安全的知識。他們要求明確地理解虛擬化技術和虛擬化技術與傳統的IT基礎設施的區別。IT人員必須有正確的工具進行有效的管理。但是，IT人員還需要進行培訓以正確地管理這個新的基礎設施。5、解除伺服器虛擬化安全隱患之安全改進機構能夠繼續改善他們的安全態勢。下面是一些額外的建議：·減少伺服器關機時間。虛擬機器能夠在完全執行的時候進行備份，因此要確認你的系統在繼續執行以保證實時備份。如果一個系統發生故障並且管理員執行了實時備份或定時快照，系統會很快恢復。如果恢復是必要的，那麼，退回重來就像提取最新的快照一樣簡單。·改善IT效率。企業利用一個批准的黃金映象能夠實現增強的安全性和管理性。這個黃金映象為一個桌面提供各種儲存在防火牆後面的使用者資料。這樣做企業能夠顯著改善生產率，幫助改善IT運營。這種做法就是保證每一個使用的虛擬機器都是根據經過批准的黃金映象製作的，無論這些虛擬機器用於開發、測試或者生產都是如此。·提高靈活性。為了向一切都是服務的模式的過渡，企業能夠定義和應用合適的資料分類和分離。這還能夠使企業更輕鬆和更自信地恰當地選擇專有的和公共的雲端計算解決方案。這是因為虛擬化能夠參考SOA讓實施更方便地在雲端計算環境中管理和部署。隨著虛擬化繼續推動資料中心的發展，採用超越物理環境的最佳安全做法、政策和解決方案並且像對待物理環境一樣警惕地對待虛擬環境是非常重要的。理解你的企業的安全風險狀況，應用適當水平的安全措施能夠讓你的企業從虛擬解決方案中獲得巨大的好處，同時為未來的資料中心技術創新創造一個舞臺。以上五大伺服器虛擬化安全優化策略，是完善伺服器虛擬化的關鍵所在。朗思通普做為HP伺服器鉑金代理商，專業代理惠普伺服器、惠普儲存等商用產品與配件，提供HP伺服器虛擬化配置、安裝、優化等一站式解決方案。