高遵富,张居库,程 辉
(中国石油辽河油田公司,辽宁 盘锦 124010)
随着虚拟化技术不断向前发展,许多企业数据中心面临着实施虚拟化的需要。虚拟化所具有的优势,如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等,都使得虚拟化[1]更加引人注目。整合、节省成本、动态配置和动态迁移等因素正在推动虚拟系统在数据中心的应用。在这里,技术再次走在了最佳的安全方法的前面。随着机构对灾难恢复和业务连续性的重视,从2009年开始,企业所在公司陆续开展了VMware和Hyper-V的虚拟化应用,现在已广泛运用在油田的业务和生产中。通过近几年的应用,我们更加关注这种繁荣背后的隐忧,探讨服务器虚拟化的安全问题极有必要。
(1)如果主机受到破坏,那么主要的主机所管理的客户端服务器有可能被攻克。
(2)如何保障客户端共享和主机共享的安全?因为这些共享有可能被不法之徒利用其漏洞。
(3)主机利用率多大为最好,能承载多少虚拟机?
(4)虚拟机之间通话是否安全?
(5)虚拟机补丁如何更新?还需要在所有的虚拟机上都安装防护系统吗?
虚拟化技术改变了数字中心的网络架构,产生了新的安全问题。采用虚拟化技术以前,数据中心是由网络、服务器、存储三大层次组成,但各服务器和存储都是独立存在,被网络分割在不同的隔离区内,被各自的安全规则和防火墙所控制,出现问题时造成的危害被限制在一个狭小的隔离区内,影响不大。但采用虚拟化后,所有的虚拟机都处于防火墙内,虚拟机之间处于安全空白地带,如果有一台虚拟机发生问题,危害就会扩展到整个虚拟化系统。
服务器虚拟化就是将多个现独立的虚拟操作系统在单一的物理计算机上运行,这可以最大化地利用服务器。但是,无论什么服务器都有各自的性能极限,不同的虚拟机在争夺有限的资源时,可能会出现网络和性能瓶颈,从而引起服务器过载或崩溃[3],造成部分或全部业务的中断或崩溃,它比常规环境中一台服务器崩溃引起一个应用中断带来的问题要严重得多。
由虚拟机补丁引起的安全问题有两种情况:一是虚拟机众多,不能及时对各虚拟机进行补丁更新;二是镜像经常处于沉默状态,不能及时得到最新的补丁和病毒特征。
管理虚拟安全问题:首先,也是最重要的,企业应该分析自己使用的虚拟平台的具体风险。要知道这个架构的变化如何影响到现有的安全管理系统。企业IT部门在向虚拟机迁移或者应用虚拟机之前还应该制订战术层面和战略层面安全计划。这些安全计划是通过对现有的虚拟安全进行综合分析实现的。同时还要计划应付虚拟平台未来的安全威胁。总的来说,作为整个虚拟化安全架构的一部分,数据中心应该把重点放在以下几个方面:
传统的DMZ设置现在已经不能满足虚拟化对网络架构的安全需要。虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如 VMwareESX/ESXi,微软的 Hyper-V),或者由虚拟—实体网卡之间的桥接(如VMwareServer/Workstation,微软的VirtualServer/PC),与外部网络进行通讯。在这种架构之下,原本可以通过防火墙采取阻隔的防护就会消失不见,届时只要一台虚拟机器发生问题,安全威胁就可以通过网络散布到其他的虚拟机器。虚拟化平台的厂商VMware已推出VMsafe的API技术,VMsafe的运作架构相当简单,相当于我们在每一台虚拟机器前面放置一台安全检查设备,去过滤进出这些虚拟机器的所有流量,于是虚拟机器不需要安装任何软件便能得到保护,而实际上,杀毒软件仅是安装在VMware ESX/ESXi平台之上的一台虚拟机器而已,目前各主流安全软件厂商都已经推出了基于虚拟化的安全防护产品。
3.2.1 控制虚拟机的数量
每台服务器的硬件性能都有其极限值,而每个应用程序的运行都有其消耗资源的最低需求,所以虚拟机的数量并不是可以无限创建的。要实时监控设备的运行情况,根据实践情况控制虚拟机的数量。创建虚拟机只要短短几分钟,但虚拟机数量越多,面临的安全风险也越大。
3.2.2 严格控制创建流程
创建虚拟服务器和对其进行维护要像物理服务器一样严格。无论是物理服务器还是虚拟服务器,都要通过同样的流程才能获得批准。
3.2.3 控制虚拟机的部署系统
3.2.3.1 按照位置分开虚拟机
虚拟安全领域经常讨论的问题之一是在隔离区使用虚拟平台。经常看到一个物理虚拟机主机在隔离区运行公共的和专有的虚拟机,这两个安全领域的区分是在软交换机上实施的。在实践上,这种架构没有物理环境的架构那样安全,因为这种架构的虚拟机和物理机器共享运行环境。消除共享的隔离区资源的安全威胁的解决方案是在物理上把公共的虚拟机与专用的虚拟机分开,在不同的主机上运行和管理这些虚拟机。
3.2.3.2 按照服务类型分开虚拟机
一旦根据位置分开虚拟资源之后,下一步就是根据任务或者服务分开虚拟机。换句话说,就是让全部的网络服务器虚拟机在一个资源池和集群中,让所有的应用虚拟机在另一个资源池或者集群中。同在隔离区内分开位置一样,这个架构旨在限制那些与攻破虚拟平台有关的风险。如果一个攻击者能够攻破一个客户虚拟机,在同一个物理主机上运行的其他客户机预计也会被攻破,因为它们共享同样的运行环境。如果在一个主机上运行的所有的虚拟机都是相同的并且都执行同样的任务,而且整个系统没有完全暴露,攻击者不必利用10个虚拟机安全漏洞,能够利用一个虚拟机的漏洞就够了。
虚拟机和平台的主要好处之一是能够方便地创建、移动和撤销虚拟机,虚拟机的创建、移动和销毁过程构成了虚拟机的生命周期。
虚拟机在生命周期的每一步都容易受到安全威胁。当从头开始创建新的虚拟机的时候,重要的是要保证虚拟机使用最新的安全补丁,保证补丁更新的及时性、严密性、持续性、兼容性。当克隆虚拟机镜像和移动虚拟机的时候,重要的是保持每一个虚拟机的“稳定状态”。同时,随着时间的推移,很容易重复地克隆一个使用了补丁的“黄金”镜像,最终使各种虚拟机保持各种补丁水平,因此需要在使用的间歇时间里离线更新最新补丁。通常情况下,在局域网内部一般采取如下策略:
(1)制定系统补丁管理制度或办法;
(2)部署局域网补丁服务器;
(3)测试补丁和虚拟化系统的兼容性;
(4)制定补丁分发策略,定时、分时强制补丁更新和升级病毒库;
(5)定期虚拟化系统巡检,检查更新状况。
虽然虚拟平台带来了额外的管理和安全风险,但是虚拟化带来的各种风险是可以管控的。如果在部署虚拟化系统之前或者在进行虚拟化移植之前、期间或者之后能够充分地考虑到虚拟化技术因素以及可能带来的风险,就有可能成功地实施虚拟基础设施迁移。提前进行虚拟化系统规划,从第一天开始就考虑虚拟化的安全管理问题,企业就能够成功地实现虚拟化的部署,并做到虚拟化环境比物理环境更安全。
[1] 韩寓.服务器虚拟技术研究与分析[J].电脑知识和技术,2011,7(7):1654-1655.
[2] 余明辉.虚拟化技术应用的风险分析及对策研究[J].信息安全与技术,2010(8).
[3] 东缘.实施虚拟化如何避免服务器过载.[EB/OL].[2009-10-19/2009-12-14].http://server.ctocio.com.cn/server_vm/169 /9237669.shtml.