2008年(8065)
分类: 服务器与存储
2008-12-14 16:07:32
许多人认为“虚拟化是物理环境的应用延伸,对于虚拟机的安全防护只需要采用现有的做法管理即可……”,这个观点从某些方面来说是正确的,但实际上物理机和物理机之间仍有着诸多差异之处,如果未能及时正视这些差异,就有可能因此产生安全问题。
网络架构因虚拟化而产生质变
网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前,企业可以在前端的防火墙设备上订立出多个非军事区(Demilitarized Zone,DMZ),针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。
虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi,微软的Hyper-V),或者经由“虚拟──实体”网卡之间的桥接(如VMware Server/Workstation,微软的Virtual Server/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,Check Point台湾区技术顾问陈建宏就表示,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。
要解决上述问题的最简单做法,就是在每一台虚拟机器上都安装防毒软件,以及其它种类的资安产品。不过如此一来,却又可能衍生出一些管理上的疑虑,例如应用程序与资安产品之间的兼容性问题即同样可能在虚拟机器的环境下发生。
此外,虚拟机器安装资安产品后的运作效能,也值得企业加以注意,过去在一台实体主机上安装防毒软件,几十MB的内存使用量不会是太大的问题,但是在虚拟化的环境下,多台虚拟机器累积下来,就可能占用到相当可观的硬件资源,因此需要寻求其它做法加以因应解决,才能做好虚拟平台上的安全控管。
服务器虚拟化之后,所有的虚拟机器的网络卡,预设会连接在同一台虚拟交换器上运作,无形之间产生安全问题。
从虚拟层下手拦截安全威胁
虚拟化平台的厂商已经提出一套作法,像VMware在今年2月宣布释出VMsafe的API技术,就引发很大的关注,这么一来,能够让资安厂商能够开发与VMware ESX/ESXi半虚拟化平台相整合的资安产品,以便解决前面所提到的这些问题。
VMsafe的运作架构相当简单,相当于我们在每一台虚拟机器前面放置一台安全检查设备,去过滤进出这些虚拟机器的所有流量,于是虚拟机器就不需要安装任何的软件便能得到保护,因此可以省下不少的硬件资源,而实际上,资安产品仅是安装在VMware ESX/ESXi平台之上的一台虚拟机器而己。
其实早在2002年,国外就有人提出过相同的概念,希望结合入侵侦测防御(Intrusion Prevention System,IPS)的技术,保护虚拟机器不受破坏。
从VMware公开的架构图来看,VMsafe是一个介于虚拟机器与Hypervisor之间的虚拟层,但其实,VMsafe的一部份组件是内建于Hypervisor,其它则是寄生于厂商基于这项技术所开发的资安产品,值得注意的是,并非所有的VMware ESX/ESXi版本都有支持这项技术,只有3.0版本以上的VMware ESX/ESXi才有将VMsafe的组件内建其中。
利用VMsafe,除了能够检查网络流量当中可能存在的安全威胁之外,资安厂商可以收集到关于虚拟机器的硬件参数,做为安全管理上的参考依据。关于这点,趋势科技技术经理戴燊从资安厂商的角度来看,他认为,VMsafe目前所能收集到的信息太过于底层,约略等于透过主机板BIOS所能看到的层级而己,因此很难加以有效运用,其它与VMware合作的资安厂商也应该发现到了这项不足之处,目前趋势正与VMware进行进一步的讨论,希望在未来能够利用这项技术收集到更多的信息。
相关产品已有企业实际导入
目前采用VMsafe技术的资安产品并不多见,许多仍处于开发,或者是测试中的阶段。Check Point所推出的VPN-1 VE(Virtual Edition)防火墙就是最早出现在市面上的产品之一,目的是隔离不必要的网络联机进入虚拟机器内部,造成安全问题。
另外,趋势预计在今年第4季推出一款,同样是整合VMsafe技术的资安产品──Total Discovery Virtual Appliance(TDVA),它是实体设备Total Discovery的虚拟化版本,就功能来说,主要是用来抑制恶意程序在虚拟化的作业平台上活动,产品目前已经开发完毕,等到通过VMware官方的兼容性验证之后就会开始销售。
赛门铁克在今年9月在美国拉斯韦加斯举行的VMworld大会当中,展示了一款采用VMsafe技术所开发的防毒墙原型,它在虚拟机器没有安装防毒软件的情况下,能够检查进出流量当中是否含有恶意程序。
除了上述产品之外,类似的产品还包括了Reflex Security的VSA(Virtual Security Appliance),这是一款可以安装在VMware ESX/ESXi,以及Citrix XenServer平台的IPS产品,早在2005年的时候就已经有产品推出。
从架构上来看,VSA主要是把透过监听流量为主的旁路模式,以及兼具流量过滤、检测的透通模式保护虚拟机器的运作安全。以透通模式来说,探测器(Sensor)必须设置于受到保护的虚拟机器前方才能正常运作。
在ESX的平台之上,至少需要设置两台的虚拟交换器,其中一台连接外部的实体网络,另外一台交换器则放置于后端,提供给虚拟机器联机之用,并与前端的交换器之间形成桥接,探测器就位于两者之间,目的是为了检测来往于两台交换器之间的网络联机是否异常。
唯有经过检测,确认安全无虞的网络流量才能与虚拟机器进行联机,同样地,虚拟机器所发出的流量也必须经过VSA的检查之后,才能经由前端的虚拟交换器传送到实体网络。
Reflex亚太市场暨销售总监黄彦钧表示,目前这款产品在台湾已经有实际的导入案例,一家位于园区的高科技业者,随着去年购买IPS设备的机会,同时也采购了好几套的VSA。
黄彦钧指出,一般企业在建置IPS设备的时候,大多会放置在进出流量必经的网络骨干上,防止来自于外部网络的恶意联机攻击内部主机,不过随着近年来内部攻击事件的大量增加,许多企业也开始在内部放置IPS,主要是用来保护DMZ区的服务器不受来自于内部恶意攻击所影响,而这家不具名的企业就是其中之一。
微软本身也是虚拟化技术的主要供货商之一,随着Hyper-V服务器的推出,据了解,某些资安厂商也会随之推出相关的虚拟化安全产品,同样将整合Hyper-V的Hypervisor提供保护。