云安全联盟近期发布了云安全指南第三版,相对于2009年底发布的2.1版,这个版本对云安全的论述更全面,更精确。内容从76页增加到了177页,还增加了一个域:安全即服务。

本人目前专注的领域是虚拟化与云计算,因此特别关注安全指南的第13部分(虚拟化)和第14部分(安全即服务),今天先来谈谈第13部分,与大家交流一下虚拟化基础架构的安全性问题。

虚拟化是IaaS的基础,在公有云与私有云中都有广泛应用,随着云计算时代的到来,越来越多的企业开始大规模应用虚拟化技术,服务器虚拟化与桌面虚拟化是两个主要的应用领域。

虚拟化的好处很多,可以通过服务器整合,多租户共享来提高资源利用率,降低成本;可以通过自动化来提高敏捷性,降低维护工作量,实现零接触式管理。

随 着虚拟化技术的应用越来越广泛,虚拟化平台的安全性也开始引起人们的关注,从架构上来说,虚拟化在传统IT架构的基础上增加了虚拟化层,势必会引入新的安 全风险,虚拟化灵活便利,在提高效率的同时也会带来安全挑战,我们必须了解,正视并解决与虚拟化平台相关的安全性问题,以保证企业虚拟化与云计算战略的顺 利实施。

与虚拟化架构相关的主要安全性问题总结:

1,虚拟化层安全性(Hypervisor Security)

从安全的角度看,虚拟化层的引入,会增加安全风险,因此,我们必须对虚拟化层本身的安全性加以特别关注。安全性较高的虚拟化层应该具备下述特征:

a,Hypervisor要精简,越精简则存在漏洞的可能性越小,攻击面越小,安全性越高。
b,专用系统的安全性高于通用系统。
c,系统本身要提供如防火墙一类的安全防护技术。
d,Hypervisor要有完善的验证,授权与审计功能。

2,虚拟机整固(VM Guest Hardening)

有了虚拟化技术,我们可以通过模板来置备虚拟机,通过快照来恢复虚拟机状态,这些操作点点鼠标,瞬间即可完成,IT流程受此影响,都会有较大的变化。就此部分而言,我们需要注意以下安全性问题:

a,虚拟机模板创建之后,就很少更新了,而且基本上是不开机的,我们需要特别注意模板的合规性与安全性,因为生产虚拟机都是基于模板创建出来的。
b,生产系统的变更会更频繁,因此需要通过技术手段持续保证Guest OS的健康。
c,虚拟化软件本身如果能够为虚拟机提供防病毒,防火墙,入侵检测,配置管理,补丁管理等功能,将对虚拟机保护提供极大的便利。

3,虚拟机之间的攻击行为及监控盲点(Inter-VM Attacks and Blind Spots)

虚拟化对网络安全的影响巨大,传统的安全技术和产品同样可以应用于虚拟化平台,但其保护能力可能不足,有必要对其进行改良以满足虚拟化平台的安全需求。

a,采用传统的物理安全设备,可能无法对虚拟机和虚拟机之间的流量进行监控。
b,虚拟化平台通常提供在线漂移技术,也提供高可用保护功能,虚拟机的动态变化给安全防护出了难题,安全防护系统如果不能自动适应这种变化,将极大地增加管理难度。
c,在虚拟机内部部署主机防火墙可以解决上述问题,但是会增加管理难度,影响虚拟机性能。
d,虚拟化厂商与安全厂商一起合作,虚拟化厂商提供驱动与接口供安全厂商使用,也是一种手段。
e,业界的趋势是采用虚拟的安全设备代替物理的安全设备,可以有效解决上述问题。

4,对虚拟化平台性能的担忧(Performance Concerns)

虚拟化在成本节省,简化管理方面效果显著,但是用户普遍担心虚拟化平台的性能能否满足应用的需求,特别是高峰时段的性能需求。对于性能方面,我们需要关注以下几个方面:

a,选择好的Hypervisor很关键,要充分了解并比较虚拟化层的开销,损耗,资源管理机制等。
b,科学决定整合比,整合比过低,则资源利用率不高,整合比过高,则可能导致性能问题。
c,合理配置物理机的硬件资源,内存和存储通常是影响虚拟化平台性能的关键点。搭配虚拟机,以提高整合比和利用率。
d,虚拟化层要有严格的资源分配控制,有效防止“邻位干扰”,要保证在任何情况下,虚拟节点都不能超限额使用CPU,内存,存储及网络资源。
e,要有良好的在线资源调配手段,确保在扩容和调配资源时不会导致计划内停机。
f,要有好的监控手段,及时发现性能问题,快速解决性能问题。

5,虚拟机加密(VM Encryption)

虚拟化技术把计算环境转化成了一堆文件,从而使我们可以很方便地管理和使用虚拟机,但是同时也带来了安全性问题,虚拟机中的数据可能更容易窃取。

最 有效的手段就是虚拟机加密,实时加密比较有效,但是会在一定程度上影响性能,可以有选择地应用这一技术,对于那些需要较高安全性的系统,性能上的牺牲是值 得的。如High Cloud Security的解决方案(http://www.highcloudsecurity.com/)。

也可以采用磁盘加密技术,如AlterBoot的解决方案(http://www.alertboot.com/)。

此外,还应该有虚拟机数据销毁(VM Data Destruction)机制,靠虚拟机粉碎机彻底清除虚拟机文件数据,以免造成数据的泄露。

6,数据的混合(Data Comingling)

传统IT架构下,网络被分隔为多个相互独立的安全区域,不同区域采用不同的安全策略,区域之间的访问被严格控制。虚拟化平台,区域的划分面对挑战,为了保证系统和数据的安全,我们需要关注:

a,物理边界(Air Gap)消失,为了保证安全,需要划分逻辑边界的有效手段。
b,安全性与合规性保证技术要能够识别逻辑边界,要保证可以随时根据业务或部门的不同将虚拟机划分到相应的区域,并且能够为不同的逻辑分区应用不同的安全策略。
c,当虚拟机的安全状况发生变化(如感染病毒或合规性发生改变等)时,应该将虚拟机置于特定的隔离区域,以保证平台中其它系统的安全。

[完]