【正文】
服务器虚拟化是IT基础架构得以资源共享、共享的作法,也是未来机房的重要元素之一,然而,在整个环境移转的过程中,稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。
全面检查虚拟机器的安全性做法
服务器虚拟化是构成未来新一代企业机房的重要元素之一,由于硬件效能的突飞猛进,使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而,在整个环境移转的过程中,有许多安全上的问题也会随之产生,稍有不慎就会造成危害,而影响到日常的营运。
许多人认为「虚拟化是实体环境的应用延伸,对于虚拟机器的安全防护只需要采用现有的做法管理即可……」,这个观点从某些方面来说是正确的,但实际上两者之间仍有着诸多差异之处,如果未能及时正视这些差异,就有可能因此产生安全问题。
网络架构因虚拟化而产生质变
网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前,企业可以在前端的防火墙设备上订立出多个隔离区,针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。
虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi,微软的Hyper-V),或者由「虚拟──实体」网卡之间的桥接(如VMware Server/Workstation,微软的Virtual Server/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。
要解决上述问题的最简单做法,就是在每一台虚拟机器上都安装防毒软件,以及其它种类的杀毒软件。不过如此一来,却又可能衍生出一些管理上的疑虑,例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。
此外,虚拟机器安装杀毒软件后的运作效能,也值得企业加以注意,过去在一台实体主机上安装防毒软件,几十MB的内存使用量不会是太大的问题,但是在虚拟化的环境下,多台虚拟机器累积下来,就可能占用到相当可观的硬件资源,因此需要寻求其它做法加以因应解决,才能做好虚拟平台上的安全控管。【正文】
从虚拟层下手拦截安全威胁
虚拟化平台的厂商已经提出一套作法,像VMware在今年2月宣布推出VMsafe的API技术,就引发很大的关注,这么一来,能够让杀毒厂商能够开发与VMware ESX/ESXi半虚拟化平台相整合的杀毒软件,以便解决前面所提到的这些问题。
VMsafe的运作架构相当简单,相当于我们在每一台虚拟机器前面放置一台安全检查设备,去过滤进出这些虚拟机器的所有流量,于是虚拟机器就不需要安装任何的软件便能得到保护,因此可以省下不少的硬件资源,而实际上,杀毒软件仅是安装在VMware ESX/ESXi平台之上的一台虚拟机器而己。
其实早在2002年,国外就有人提出过相同的概念,希望结合入侵侦测防御的技术,保护虚拟机器不受破坏。
从VMware公开的架构图来看,VMsafe是一个介于虚拟机器与Hypervisor之间的虚拟层,但其实,VMsafe的一部份组件是内建于Hypervisor,其它则是寄生于厂商基于这项技术所开发的杀毒软件,值得注意的是,并非所有的VMware ESX/ESXi版本都有支持这项技术,只有3.0版本以上的VMware ESX/ESXi才有将VMsafe的组件内建其中。
利用VMsafe,除了能够检查网络流量当中可能存在的安全威胁之外,杀毒厂商可以收集到关于虚拟机器的硬件参数,做为安全管理上的参考依据。VMsafe目前所能收集到的信息太过于底层,约略等于透过主板BIOS所能看到的层级而己,因此很难加以有效运用,其它与VMware合作的杀毒厂商也应该发现到了这项不足之处,目前正与VMware进行进一步的讨论,希望在未来能够利用这项技术收集到更多的信息。
相关产品已有企业实际导入
目前采用VMsafe技术的杀毒软件并不多见,许多仍处于开发,或者是测试中的阶段。Check Point所推出的VPN-1 VE防火墙就是最早出现在市面上的产品之一,目的是隔离不必要的网络联机进入虚拟机器内部,造成安全问题。
赛门铁克在今年9月在美国拉斯韦加斯举行的VMworld大会当中,展示了一款采用VMsafe技术所开发的防毒墙原型,它在虚拟机器没有安装防毒软件的情况下,能够检查进出流量当中是否含有恶意程序。
除了上述产品之外,类似的产品还包括了Reflex Security的VSA,这是一款可以安装在VMware ESX/ESXi,以及Citrix XenServer平台的IPS产品,早在2005年的时候就已经有产品推出。
从架构上来看,VSA主要是把透过监听流量为主的旁路模式,以及兼具流量过滤、检测的透通模式保护虚拟机器的运作安全。以透通模式来说,探测器必须设置于受到保护的虚拟机器前方才能正常运作。
在ESX的平台之上,至少需要设置两台的虚拟交换器,其中一台连接外部的实体网络,另外一台交换器则放置于后端,提供给虚拟机器联机之用,并与前端的交换器之间形成桥接,探测器就位于两者之间,目的是为了检测来往于两台交换器之间的网络联机是否异常。
唯有经过检测,确认安全无虞的网络流量才能与虚拟机器进行联机,同样地,虚拟机器所发出的流量也必须经过VSA的检查之后,才能经由前端的虚拟交换器传送到实体网络。
微软本身也是虚拟化技术的主要供货商之一,随着Hyper-V服务器的推出,据了解,某些杀毒厂商也会随之推出相关的虚拟化安全产品,同样将整合Hyper-V的Hypervisor提供保护。【正文】
不要忽略了虚拟机器的数据安全
就系统的型态来说,虚拟机器只是储存在实体硬盘的几个文件,一旦有办法取得存取硬盘扇区的权限,就能将这些文件复制到其它装置,然后从企业内部流出。
这个时候就不需要使用平常登入系统的账号、密码才能读取存放于虚拟机器的文件,只需要将虚拟机器的硬盘文件挂上另一个虚拟机器,里头所存放的文件就会「摊在阳光下」,任你取用。
关于这点,还是有办法保护的,在微软开放下载的一些技术文件,例如Windows Server 2008 Hyper-V and BitLocker Drive Encryption,以及Windows Server 2008安全指南当中,就提出这方面的建议。他们认为企业最好能透过Windows Server 2008内建的BitLocker全硬盘加密技术,将存放虚拟机器文件的扇区予以加密,如此一来,就可以避免因为文件外流,而造成企业营运上的损失。
做好漏洞修补,一样不可或缺
无论是实体平台,或者是虚拟机器,其目的都是为了要执行应用程序、提供服务,从这个层面来看,两者之间并没有什么不同。
对于企业日常的IT作业来说,发生频率最高,影响也相当大的威胁莫过于恶意程序,而除了需要透过防毒软件,避免病毒透过文件传输的途径植入系统之外,应用程序的漏洞修补也很重要,因此也需要透过一些机制,如微软的Windows Update、Windows Server Update Services等机制,乃至于System Center Configuration Manager/Systems Management Server等软件包协助企业,将所需要的修补程序自动派送到虚拟机器上安装。
许多版本的Linux皆已内建虚拟化的套件,然而这些采用Linux套件建构虚拟化环境的企业当中,绝大多数并非是开放源代码的爱好,仅是因为操作系统,以及套件本身可以免费使用而己,在这种情形下,很自然地对于应用程序的漏洞修补就不是那么重视,或者是根本不知道该如何进行这项工作,因此安全问题就很容易由此滋生,而影响到虚拟机器的运作安全。
从相同的观点来看,也有人认为久未使用,一段时间没有修补过漏洞的虚拟机器,不可以马上和其它正常服务中的虚拟机器放置在同一台服务器上运作,必须经过一定程序,确认没有安全风险之后,才可以上线提供服务。
不仅是虚拟机器的系统本身,就连用来安装虚拟化套件,管理虚拟机器的操作系统,也需要修补,才能保证作业环境得以安全无虞。VMware在Virtual Center的套件当中,提供了VMware Update Manager的管理工具,可以从VMware官方的服务器取得更新文件,然后派送到内部网络的多台ESX/ESXi服务器统一进行更新。
除此之外,Update Manager本身也可以用来从事Windows、Linux,以及应用程序的更新作业,和VMware ESX/ESXi的更新档一样,前述这几种的修补程序也一样是从VMware官方的服务器下载取得。
微软的作法更显得保守、谨慎。他们认为,在精简模式的Server Core(包括Hyper-V服务器)环境下建置虚拟化,将有助于增加虚拟机器的安全性。位于主要区段上的操作系统其实不需要安装太多的应用程序,如此可以减少受攻击的面向,也连带降低漏洞修补的机率,以免影响到其它虚拟机器的运作安全。
至于管理方面,可利用免费下载的专用工具联机到远程的服务器,用来部署Hyper-V套件的操作系统,不需要以完整模式安装图形化接口。
移植现有产品,也是杀毒厂商整合虚拟化的做法之一
除了强化虚拟机器的保护之外,移植现有产品也是杀毒厂商整合虚拟化的一种做法,目前市面已有一些这类型的产品推出,并且部署在企业实际运作的网络架构当中接受测试。
在今年的RSA杀毒大会上,推出了一款能安装在VMware平台上的网页过滤产品Interscan Web Security Virtual Appliance 3.1,它是硬设备IWSA的虚拟化版本,能采用透通、代理服务器等模式,防止使用者浏览一些不被企业所允许阅览的网页内容,同时可以检查流量当中是否存在有病毒一类的恶意程序。
Brightmail Gateway是赛门铁克的邮件过滤产品,最早的虚拟化版本是7.6版,随着下一版产品的推出,产品在邮件防护功能方面也变得更加强化,由于内建了虚拟数据外泄产品──Vontu的功能模块,在过滤垃圾邮件,扫描恶意程序之余,也能检查邮件内容中是否带有需要受到保护,不被允许外流的机密信息。