三大技巧加強(qiáng)虛擬環(huán)境的網(wǎng)絡(luò)安全
對(duì)于IT專業(yè)人士而言,虛擬化既簡(jiǎn)化又復(fù)雜化了網(wǎng)絡(luò)環(huán)境。
本文引用地址:http://m.butianyuan.cn/article/154648.htm大多數(shù)IT專業(yè)人士都知道,虛擬化提高了IT資產(chǎn)的運(yùn)營(yíng)靈活性 。然而,與此同時(shí),虛擬化也讓網(wǎng)絡(luò)環(huán)境更加復(fù)雜。以前我們要說(shuō)出具體機(jī)器的名稱才能指向它,而現(xiàn)在這些機(jī)器被虛擬化為一個(gè)使它們具有移動(dòng)性的基礎(chǔ)設(shè)施。
無(wú)論是通過(guò)VMware的vMotion還是微軟Hyper-V的Live Migration實(shí)現(xiàn)的移動(dòng)性都確保了最高的運(yùn)行時(shí)間,然而,這種移動(dòng)性還引入了很多與安全有關(guān)的潛在問(wèn)題。
如果虛擬機(jī)可以移動(dòng),它們將如何被控制?如果它們可以在任何位置,你該如何部署控制?
幸運(yùn)的是,IT部署虛擬化的驚人速度催生了高水平的安全指導(dǎo),而這比心態(tài)上的整體轉(zhuǎn)變還要快。在提高動(dòng)態(tài)虛擬環(huán)境的網(wǎng)絡(luò)安全性時(shí),請(qǐng)考慮以下三個(gè)關(guān)鍵步驟:
分離虛擬機(jī)管理和從虛擬機(jī)操作遷移是很重要的步驟。
技巧1:從虛擬機(jī)操作分離虛擬機(jī)管理。 這個(gè)技巧最常被忽略,而這也是最重要的技巧之一。
首先,考慮一下虛擬機(jī)可能的操作:電源開啟和關(guān)閉、重新啟動(dòng)其操作系統(tǒng)、創(chuàng)建和管理快照(snapshot),以及在其操作系統(tǒng)內(nèi)工作或者遠(yuǎn)程化其控制臺(tái)。
記住這些操作,現(xiàn)在將它們分成截然不同的兩部分。第一部分是再虛擬機(jī)內(nèi)完成的操作,例如管理或者說(shuō)運(yùn)作其操作系統(tǒng)。第二部分是對(duì)虛擬機(jī)本身進(jìn)行的操作,例如打開電源開關(guān)或者創(chuàng)建快照。最佳網(wǎng)絡(luò)安全做法建議第二部分的操作應(yīng)該隔離到其自身的獨(dú)立的高度控制的網(wǎng)絡(luò)中。
如果這種隔離還是讓你感到困惑,那么可以想一想對(duì)實(shí)體計(jì)算機(jī)的操作。在實(shí)體計(jì)算機(jī)上,有電源按鈕、網(wǎng)絡(luò)接口,以及直接(或邏輯地)連接到機(jī)箱的各種形式的管理工具。你需要按下電源按鈕來(lái)關(guān)閉機(jī)器,電源按鈕就在機(jī)箱上。連接網(wǎng)絡(luò)也需要你將網(wǎng)線插入機(jī)箱。
在現(xiàn)實(shí)世界,需要通過(guò)指紋識(shí)別和證件進(jìn)入數(shù)據(jù)中心房間后,才能夠進(jìn)行這些操作。如果虛擬化環(huán)境沒(méi)有部署身份驗(yàn)證系統(tǒng),而任何人都可以直接操作,這就像將數(shù)據(jù)中心房間的大門敞開。將這些操作(通常是通過(guò)系統(tǒng)管理程序的“管理連接”來(lái)設(shè)定)隔離到它們自己的網(wǎng)絡(luò)等于重新鎖上了虛擬數(shù)據(jù)中心的大門。
技巧2:從虛擬機(jī)操作中隔離虛擬機(jī)遷移。如果說(shuō),技巧1是最容易被遺忘的最佳做法,那么技巧2則緊跟其后。很多IT專業(yè)人士并不一定知道,在vMotion或者Live遷移期間,一些管理程序并不會(huì)對(duì)兩臺(tái)主機(jī)間傳遞的內(nèi)存狀態(tài)信息進(jìn)行加密。
現(xiàn)在,從很多類型的惡意軟件行為的角度,想一想這種設(shè)計(jì)目的。這些惡意軟件行為都是關(guān)于捕捉以及重新配置內(nèi)存數(shù)據(jù)值,通過(guò)重新配置某些內(nèi)存數(shù)據(jù)值,惡意軟件可以將其自身“插入”到內(nèi)存中,然后將其有效載荷放入內(nèi)存,惡意軟件就可以在不被系統(tǒng)察覺的情況下進(jìn)行任何操作。
雖然虛擬機(jī)是在主機(jī)上運(yùn)行,但它們地內(nèi)存仍然受到操作系統(tǒng)架構(gòu)內(nèi)元素的保護(hù)。然而,在遷移過(guò)程中,這些元素被規(guī)避了,以將虛擬機(jī)的內(nèi)存狀態(tài)從一臺(tái)主機(jī)傳遞到另一臺(tái)。雖然這種情況很短暫并且不可預(yù)知,但是這仍然為潛在攻擊者提供了一次絕佳的機(jī)會(huì)。
盡管這個(gè)漏洞很難被利用,但是遷移流量應(yīng)該被隔離到自己的網(wǎng)絡(luò)還有第二個(gè)原因:性能保證。遷移是時(shí)間敏感事件,特別是當(dāng)很多遷移需要同時(shí)進(jìn)行的時(shí)候。通過(guò)將其流量隔離到獨(dú)立的網(wǎng)絡(luò)路徑,可以幫助確保快速執(zhí)行遷移的最佳環(huán)境。
正確的網(wǎng)絡(luò)隔離政策幫助確保最佳虛擬機(jī)操作。
技巧3:從虛擬機(jī)操作分隔虛擬機(jī)存儲(chǔ)。 從這些建議中,你看得出主題是什么嗎?很明顯,適當(dāng)?shù)木W(wǎng)絡(luò)隔離是確保最佳虛擬機(jī)操作的最重要因素。
存儲(chǔ)問(wèn)題與上述技巧1和技巧2有所不同。眾所周知,存儲(chǔ)連接是極其消耗資源的。虛擬機(jī)到其磁盤的連接通常需要大比例的千兆或萬(wàn)兆連接。將存儲(chǔ)隔離到自身網(wǎng)絡(luò)避免了一個(gè)連接類型影響其他連接的吞吐量問(wèn)題。
從安全角度來(lái)看,應(yīng)該認(rèn)識(shí)到一些存儲(chǔ)連接類型可能需要特別注意,例如iSCSI或者FCoE連接。在存儲(chǔ)流量傳遞不被虛擬環(huán)境管理員完全信任的網(wǎng)絡(luò)中,這個(gè)建議顯得尤為重要。iSCSI和FCoE都配備了身份驗(yàn)證協(xié)議以確保目標(biāo)和發(fā)起者在傳遞流量前互相確定身份。
在加密流量以及流量在發(fā)起者和目標(biāo)之間的傳遞方面,這兩種協(xié)議只能提供有限的支持?,F(xiàn)在有很多技術(shù)可以完成這個(gè)任務(wù),然而,在實(shí)際操作中并不是那么理想。加密要求在源頭和目標(biāo)處進(jìn)行額外的處理工作,而這種處理將影響或者降低性能。
加密還會(huì)對(duì)下游活動(dòng)造成不良影響,例如如果在其配置中沒(méi)有進(jìn)行特殊關(guān)注,將會(huì)出現(xiàn)復(fù)制問(wèn)題。在選擇加密路徑前,請(qǐng)咨詢制造商。在確保傳遞過(guò)程的安全方面,可能需要不同的硬件、軟件或者配置。
結(jié)語(yǔ)
正如你所見,虛擬環(huán)境的網(wǎng)絡(luò)安全覆蓋面比物理環(huán)境更廣,有更多需要我們注意的地方。如果你選擇虛擬化,請(qǐng)檢查你的網(wǎng)絡(luò)安全策略,找出薄弱環(huán)節(jié)。要知道,潛在攻擊者肯定在做同樣的事情。
評(píng)論