• 1
虚拟化发展技术门槛降低安全要求提高2013-10-9

技术的创新能够让企业在短时间内占领绝对的市场,并在一段时间内保持绝对的竞争力。但是随着技术的不断成熟,企业必然要面临来自各方面的竞争和压力。这样的例子屡见不鲜,比如电子商务,最早做电子商务的企业,在经过一开始的艰苦创业以后,成为了最受人欢迎的网络企业,但是随着电子商务理论的不断成熟和完善,越来越多的企业开始投身这个行业,行业的竞争力变得空前巨大,众多企业举步维艰。

做为我们云端和数据中心解决方案的一部分,DeepSecurity提供无代理的虚拟安全设备,可以直接在VMware环境内的实体主机上运作。这种创新做法可以提供虚拟数据中心和虚拟机完整的安全性,而无需在每台机器上安装软件。使用趋势科技和VMware共同开发的API,DeepSecurity对于虚拟机管理程序和实体机器上虚拟机间的流量都有完整的能见度。

DeepSecurity整合vCloudDirector提供跨数据中心和基于云端虚拟机的统一管理和共同安全政策。政策可以自动地应用到任何新的虚拟或云端部署上,可以显著地降低管理问题,只要一个控制台就能够管理所有环境。

随着越来越多网页应用程序已经成为了业务关键,停机或应用程序被入侵意味着可能数百万美元的损失或对品牌声誉的严重损害。你需要确保你安全解决方案和你部署到云端和虚拟环境的应用程序类型相配合。做为我们云端和数据中心解决方案的一部分,趋势科技提供网页应用程序和平台层级上的侦测和防护能力给你所有的业务关键应用程序。

Vmware和Citrix在不断变化的背景之下,始终坚持创新,这就是为了应对上面的问题。但是随着其产品体系的不断扩大,创新的速度越来越慢,大多数的产品都是在原有技术的基础上进行的改进和完善,并没有进行较大的创新和改进。比如在数据安全方案上没有随着时代变化进行相应的调整,而是在原有基础上加入了云计算和云防护的元素,这样不但没有能够彻底解决问题,还造成了极大的负面影响,使得企业的创新和改革陷入了陈旧思维的桎梏之中。这在无形中给了其他企业机会,尤其是随着云计算时代的来临,让虚拟化的门槛越来越低,这样大量涌入的企业,开始一步步吞食他们的市场。

虚拟桌面的使用者就是一种参与者,而开发虚拟桌面应用的开发商也是参与者,他们在虚拟化平台上构建了一个完整的体系。这其中还包括了次级的参与者和管理者,他们成为最终决定虚拟化走向的人群。管理者就是这个平台的管理者,他们具有绝对的权限和管理高度,完成对整个平台的搭建和管理。这个体系延续了很久,但是现在却有所改变了。其中最关键的因素,就是虚拟化的平台开始舍弃人的绝对管理和使用权利,加入理论智能使用和管理的因素。

怎样通过绝对理智的只能来监控虚拟化的进程成为现在的重要课题。在泰然神州的新一代数据安全堡机中,我们看到了智能的身影。第一点就是为了保障数据安全,泰然神州使用了智能的审核程序。这种程序对于我们来说并不陌生,在注册表中经常用到的判断语句,就是这种智能的初步体现。通过构建标准的数据表,确定判断词,完善判断逻辑,就能够实现初步的审核智能。在泰然神州的数据安全解决方案中这种智能被广泛的应用,从而替代了大量的人工审核步骤,完成了初步的智能替代人的元素。随着这种智能的不断开发,就能够逐渐的减少人的元素造成的影响,从而实现绝对的理智。但是单纯的审核是不够的,还需要更加智能的逻辑。逻辑智能就是通过智能化的逻辑关系来管理人的元素。这种智能与传统的管理系统不同,他更加的完善和灵活。这种智能的应用,就是给所有的人的元素设定理论一个关系的桎梏,让所有的人的元素都遵循固定的逻辑进行工作。

虚拟化的发展方向是朝着高度智能发展的,这要求进行大量的尝试和创新来完成这一发展要求。众多的案例让我们看到了虚拟技术对于智能的要求,这让我们不得不拿出足够的资金和精力来进行相关的研究开发。在此基础上,转变传统的虚拟化观念,重新调整模型和思路,让开发的产品更加符合现在的社会要求,通过不断进行创新和研发来应对日益变化的市场。

虚拟化带来所有以客居方式运行操作系统的安全问题,以及虚拟化特有的安全威胁。虚拟化是基础设施即服务(IaaS)云和私有云中的关键因素之一,而且越来越多地被应用在平台即服务(PaaS)和软件即服务(SaaS)提供商的后台中。虚拟化也是由公有云或私有云交付的虚拟桌面的一项关键技术。

虚拟化对网络安全带来巨大的威胁,虚拟机间可能通过硬件背板而不是网络进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的,无法对它们进行监控或内嵌封堵。内嵌虚拟设备可以解决这个问题;另一个解决途径是硬件辅助虚拟化(Hardware Assisted Virtualization),它需要与Hypervisor和虚拟化管理框架进行API级别的整合。虚拟机的迁移也是令人担心的地方。一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为。在每个虚拟机上安装全套的安全工具,是加添保护层的另一途径。

虚拟化服务器上的共享环境导致了资源竞争。特别是在虚拟桌面或高密度环境中,安全软件需具备虚拟环境识别能力,或者它需要能够在一台虚拟机上执行安全功能来支持其他虚拟机。在典型的企业中,虚拟机可提供的便捷性导致虚拟机需求的增加。这产生了更大的攻击面,错误配置或操作失误导致安全漏洞的几率也随之上升。实施基于策略的管理和虚拟化管理架构的使用是必需的。

最佳实践包括基于网络的安全控制和“虚拟补丁”,他们在网络流量到达新部署或新启动的虚拟机前,对已知攻击行为进行检查。也可能采取类似网络访问控制(NAC)的措施,以隔离尚未更新的虚拟机,直至规则和模式库更新到最新并执行完成扫描任务。

虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应的解决方案是在任何时候对虚拟机镜像进行加密,但这又会导致性能问题。在安全性要求高或有法规要求的环境下,(加密的)性能成本是值得的。加密必须与管理性措施、数据泄露保护(DLP)和审计踪迹配合以防止运行中虚拟机的快照(Snapshot)泄露,从而给攻击者获取快照中数据的机会。

另一个问题是不同等级的数据(或虚拟机储存着不同等级的数据)可能交错混杂在同一台物理机器中。在PCI(这里指PCI-DSS,支付卡行业数据安全标准)条款中,我们称之为混合实施模式。我建议组合使用虚拟局域网、防火墙、入侵检测/入侵防护系统(IDS/IPS)来保证虚拟机隔离以支持混合实施模式。我还推荐使用数据分类和基于策略的管理(例如,DLP数据泄露保护)来预防数据混杂。当虚拟机从一个物理服务器间迁移至另一物理服务器时,企业需要确保没有任何一个比特数据遗留在磁盘上,有关数据可能被其他用户恢复或当磁盘被回收时恢复。对内存/存储清零或者对全部数据加密是此问题的解决方案。加密密钥应当存储在虚拟环境以外的一个基于策略的密钥服务器上。此外,如果没有使用加密或恰当的数据擦洗,虚拟机在运行的状态下迁移,自身可能面临风险。

虚拟机可以从一个物理服务器迁移到另外一个物理服务器的独特能力为审计和安全监测增加了复杂度。在很多情下,虚拟机可以在不产生告警或者审计跟踪的情况下被重新安置于另一个物理服务器(与地理位置无关)。

来源:51cto.com