为主机服务器上不同类型的虚拟机创建物理安全区,已无法保证服务器虚拟化安全了。因此,网络和网络安全供应商推出了虚拟安全产品,它们可以在虚拟宿主的虚拟机上直接应用安全控制和策略。

虚拟化方案出现之初服务器虚拟化安全问题便一直困扰着网络安全专业人员。问题的部分原因在于无法监测虚拟机(VM)的行为,并且无法将安全策略应用到虚拟机上,因为连接这些VM的网络端口已经抽象运行到物理主机上的超级管理程序中了。过去,网络专业人员一直通过对物理主机服务器划分安全区来解决这个问题。只要虚拟管理人员之间进行合作,并保持虚拟机器位于正确的物理VLAN上,这个问题还是可以解决的。

但是服务器虚拟方案正在迅速发展中。支持VM迁移的技术,如VMware vMotion,只需轻点一下鼠标便可以使网络安全控制完全失效。目前,VM的启动和关闭非常频繁,人为操作失误逐渐成为一个较大的风险。管理员可以很轻易地在一台信用卡处理交易专用物理主机上启动一个测试及开发VM,同时网络安全团队会马上面临审计的噩梦。

一家中型的East Coast 银行的IT副总裁Dave Williams 表示,“你可以相对容易地启动虚拟机器,这取决于你操作的熟练程度,但问题是,你会发现有些管理员还只是刚开始接手工作。他们可能会将开发系统和生产系统部署在同一台ESX主机上”。

事实上,由Juniper Networks及其虚拟安全伙伴Altor Networks共同在VMworld 2010上所进行的一个IT专业人员调查显示,70%的被访者都在同一主机上部署不同的VM负载,以便提高他们的风险预测水平。其中55%的被访者表示在他们的网络上,每天都会发生多次的VM增加和删除操作,因此增加了人为失误的风险。

Altor Networks市场副总裁Johnnie Konstantas 表示,“他们在面向互联网的服务器上安装了数据库,并为客户资源应用安装了Web服务器,而为合作伙伴提供外部网络访问。这可能使服务器处于更高风险状态,特别是那些连接到互联网上的服务器,它们还可能将一些风险带到到一些没有连接到互联网且拥有高价值的设施上。从安全和法规的角度考虑,它们是必须被隔离的。”

Williams说道,“在谈到DMZ这个问题时,我更倾向于尽可能地使用物理边界。如果你用一个物理交换机将服务器连接到DMZ上,那么我不愿意将主机虚拟化到不同VLAN上。工程师们可能会说,‘我们可以将整个VLAN虚拟化,这样VM就不会连接到一起了’,但是,管理员可能很快就把它搞坏。”

服务器虚拟化安全性产品正在不断完善

供应商正在快速地解决这些问题。在过去的两年中,Juniper Networks已经在其防火墙业务方面与Altor Networks发展成为紧密的伙伴关系。在VMworld大会上,Check Point发布了Security Gateway Virtual Edition,Cisco Systems推出了VMsafe,VMware的应用程序接口(API)允许安全供应商将Cisco System产品与vSphere整合为一体。

这些供应商都致力于将自己的产品直接应用到管理程序技术上来实现服务器虚拟化安全性,从而与支持静态服务器的物理安全性控制一样精确。

Konstantas 表示,“我们在操作系统底层和内部安装了管理程序,这样我们就不仅能够对进出VM的数据包即时应用安全性,而且我们还可以全面地监测VM的运行状况。我们可以观察到VM上的网络连接,它所分配的端口以及网络的配置。我们还可以看到VM内部安装的应用及服务。” 同时,他还表示,“我们可以将安全策略应用到这些VM上,即使它只是一个将所有的虚拟化服务器都作为软件元素运行的物理主机,我们可以控制它们,就如同Juniper的SRX在物理环境中进行的操作一样。”

整合物理网络安全和服务器虚拟化安全是至关重要的

一个产品能够运行真正的虚拟化安全只是第一步。企业必须能够将物理和虚拟安全整合为统一的管理点,这样安全操作才可以变得更简单和更自动化。

Enterprise Strategy Group资深分析师Jon Oltsik表示,“你必须将你的虚拟安全工具与物理工具管理整合到一起,这样你就可以同时管理物理设备和虚拟设备。你拥有通用的策略管理、通用的策略执行、通用的报告和通用的审计。如果我有物理的Juniper SRX设备和虚拟防火墙,那么我就希望创建一个将它们全部包含在内的安全策略。”