搜索
迎接虚拟化安全的挑战协作安全虚拟机的服务器防御趋势科技白皮书|2009年8月趋势科技虚拟化安全I.引言虚拟化使用户公司能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。不幸的是,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量特殊挑战,最终将抵消虚拟化的优势。尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下,用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。趋势科技提供真正的解决方案以应对这些挑战。趋势科技充分利用通过并购ThirdBrigade所带来的创新性技术,以及长期积累的安全经验,目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力,诸如通过最近发布的VMwarevSphere™4访问VMwareVMsafe™API的最新引入的附加能力。趋势科技提供必需的防护以提高在虚拟化环境中关键任务应用的安全性。本文旨在介绍趋势科技对于虚拟机的服务器防护的灵活方法。II.虚拟化安全挑战虚拟化系统采用与物理系统相同的操作系统,包括企业级应用和web应用。尽管某些漏洞能够被系统管理程序检测出[参见图1b],但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力[参见图1a]。1白皮书|趋势科技虚拟化安全vSwitchvSwitch管理程序Web应用企业级应用OSbaa图1。虚拟化漏洞访客VM访客VM访客VM访客VM趋势科技虚拟化安全虚拟化厂商不断努力地简化业务控制台,如在VMwareESXi中可以看到的减少潜在攻击点。因为管理程序不具有可以终结远程协议的服务,所以大部分管理程序漏洞将不能够被远程探测。通常危及虚拟机(VM)的恶意软件可以探测到管理程序的漏洞。最佳防护攻击管理程序漏洞的方法之一是首先避免恶意软件在虚拟环境中启动。虚拟化环境的动态特性面临入侵检测/防御系统(IDS/IPS)的新挑战。由于虚拟机能够迅速地恢复到之前的状态,并且易于在物理服务器之间移动,所以难以获得并维持整体一致的安全性。为了创建虚拟化安全的有效方法,用户应该采用与不断演化以保护物理IT资源相同的安全理论。其中一个安全理论是“全面防御”,这是企业用户对于在其IT基础设施中出现的“网络边界去除”进行识别的基础安全需求。行业最佳实践支持这种理论,而且诸如JerichoForum等组织也将其纳入其安全建议。因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击,所以虚拟化已经使“网络边界去除”的挑战更加明显,以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下规则:•防护的范围和等级应该针对于并适合出于风险中的资产。•商业需要能够提高其灵活性和成本有效性的安全策略•尽管边界防火墙会不断地提供基本的网络防护,但是个人系统和数据需要自我防护。•通常,提供的防护离资产越接近,越容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论,现在可以看到存在对于虚拟化安全方法的明确需求,即直接将安全机制部署在物理服务器上防护这些虚拟化系统,从而尽可能近地对资产进行防护。2白皮书|趋势科技虚拟化安全趋势科技虚拟化安全III.当前虚拟化安全中的方法在广泛应用专门为VMwareVMsafeAPI定制的安全解决方案之前,通常采用两种初始方法和安全软件一起来保护虚拟机,一种是在虚拟化计算环境中应用虚拟安全设备以监控虚拟交换机和访客虚拟机之间的通信流量[参见图2]。尽管虚拟安全设备解决方案提供IDS/IPS防护以避免网络中的攻击,但是也存在较大的局限性:•内部虚拟机通信流量—必须将虚拟安全设备放置在虚拟交换机的前面,即便如此,仍不能避免在同一虚拟交换机上虚拟机之间产生攻击。•移动性—如果采用诸如VMwareVMotion™的控件将虚拟机从物理服务器之间进行传输,那就会丢失安全上下文。有必要针对于每一个潜在目的配置虚拟安全设备集群,因为虚拟机有可能被重新定位至该目的,从而对于性能产生相应的负面影响。•不透明度—因为必须改变虚拟网络体系结构以部署虚拟安全设备,这将对于现有系统的管理和性能产生不利影响。•性能瓶颈—虚拟安全设备必须处理虚拟机和网络之间的全部通信流量,最终会出现性能瓶颈。3白皮书|趋势科技虚拟化安全图2。IDS/IPS的虚拟安全应用方法访客VM访客VM访客VM访客VM访客VM访客VM访客VM访客VMvSwitchvSwitchvSwitchvSwitchvSwitchvSwitchIDS/IPSDS/IPS管理程序管理程序趋势科技虚拟化安全采用另一种方法,可以在每一虚拟机上部署相同的IDS/IPS功能[参见图3]。与虚拟安全设备方法不同的是,以虚拟机为中心的方法可以避免内部虚拟机通信流量、移动性和缺乏可见性等缺点。尽管以虚拟机为中心的方法同时会对系统性能产生影响,但其分布式地跨接IT基础设施中虚拟机上。然而,以虚拟机为中心的体系结构仍然要面对的挑战是在每一虚拟机上都部署一个IDS/IPS安全代理。正如在其在线教程中VMware所指出,可以通过采用诸如模板的机制,即“使用模板”来部署通用的安全代理跨接每一虚拟机来消除这些不利因素。然而,虚拟化环境的动态特性在没有安装安全代理的情况下,依然能够将虚拟机引入生产环境中。IV.安全看门狗虚拟机(VM)VMwareVMsafe程序使用户能够部署专用安全虚拟机以及经特别授权访问管理程序的API。这使得创建独特的安全控制、安全看门狗虚拟机等成为可能,如在Gartner的报告中所述,在虚拟化的世界中从根本上改变安全和管理:概念。这种安全看门狗虚拟机是一种在虚拟环境中实现安全控制的新型方法[参加图4]。4白皮书|趋势科技虚拟化安全图3。以VM为中心的IDS/IPS访客VM访客VM访客VM访客VMvSwitchvSwitch访客VM访客VM访客VM访客VMvSwitchvSwitch图4。安全看门狗VM访客VM访客VM访客VM访客VMvSwitchvSwitch管理程序管理程序管理程序安全看门狗VM趋势科技虚拟化安全安全看门狗功能利用自省API来访问关于每一虚拟机的特权状态信息,包括其内存、状态和网络通信流量等。因为在不更改虚拟网络配置的情况下,服务器内部的全部网络通信流量是可见的,这样就可以消除用于IDS/IPS过滤的虚拟安全设备方法在内部虚拟机和非透明方面的局限性。然而,在安全看门狗虚拟机中进行IDS/IPS过滤时必须考虑移动性和性能的影响。包括防病毒、加密、防火墙、IDS/IPS和系统完整性等在内的安全功能均可以应用于安全看门狗虚拟机中。为了使用这些API,可以将虚拟安全设备另作他用,而且对于以虚拟机为中心的代理技术进行重新设计以便于在安全看门狗虚拟机中运行。然而,对于在安全看门狗虚拟机中的某些功能以及采用以虚拟机为中心的代理的虚拟机中的某些功能,仍然需要进行灵活的部署,这是因为:•某些安全功能仅能够通过以虚拟机为中心的代理来获得。例如,处理经加密的通信流量或访问某些实时状态信息•为了实现解决方案,在经由安全看门狗虚拟机还是部署以虚拟机为中心的代理的不同途径之间存在性能折中方案•开发必需的自我测量API并且适时发布,在过渡过程中,随着安全看门狗虚拟机功能的出现,用户需要某种用以提供安全性的机制。最终,需要一套灵活的方法,即一种将以虚拟机为中心方法的优势和自我测量API所提供的优势结合在一起的方法,以提供智能的选择,从而在将性能瓶颈和冗余控制最小化的同时还能够成本有效地减少安全风险。趋势科技能够为用户提供这种解决方案。V.灵活的安全方法趋势科技保护虚拟化环境的灵活方法包括可以在单个虚拟机上进行部署的以虚拟机为中心的代理,以及用以保护多个虚拟机的安全看门狗虚拟机。这种体系结构可以确保通过在关键IT资产,即虚拟机上部署软件而对其进行防护,同时可以由安全看门狗虚拟机来防护非关键资产[参加图5]。5白皮书|趋势科技虚拟化安全图5。灵活的IDS/IPS方法访客VM访客VM访客VM访客VMvSwitchvSwitch安全看门狗VM管理程序趋势科技虚拟化安全集成方法趋势科技灵活的解决方案包括以下六个方面:•入侵检测和防御协作•虚拟化管理集成•企业化管理•综合IDS/IPS功能•多个虚拟化体系结构•软件许可模型入侵检测和防御协作协作顺序如下:•虚拟机一旦激活,就会通知安全看门狗虚拟机•如果安全看门狗虚拟机在访客虚拟机上检测到安全代理已部署,或者其应当部署,就会确保部署正确的软件版本和安全配置并且按需更新配置•最终,访客虚拟机具有最新的防护并且能够在网络上进行通信,同时,直接从管理程序向虚拟机发送通信流量下图6,图示了安全看门狗虚拟机和以虚拟机为中心的代理之间的协作。6白皮书|趋势科技虚拟化安全图6。有安全代理的客户VM访客VM访客VM访客VM访客VMvSwitchvSwitch安全看门狗VM管理程序趋势科技虚拟化安全如前所述,并非每一虚拟机都必须安装安全代理。图7图示了在没有代理的情况下部署访客虚拟机的协作:•当访客虚拟机启动时,通知安全看门狗虚拟机•如果访客虚拟机不需要代理,安全看门狗虚拟机扫描访客配置情况并且在安全看门狗虚拟机中应用合适的IDS/IPS过滤策略•经由VMsafeAPI,数据流经已应用IDS/IPS过滤策略的安全看门狗虚拟机。这种体系结构的优势在于,由于通信流量直接从管理程序路由到访客虚拟机,所以当通信流量通过带有IDS/IPS安全代理的虚拟机时,不会产生明显延迟。其余无代理虚拟机的通信流量可以集中由安全看门狗虚拟机来处理,从而将影响最小化。虚拟化管理集成虚拟化平台通常包括用以管理物理主机和虚拟机的部署,诸如VMwarevCenter服务器的集中化管理系统。IDS/IPS系统安全管理功能与该虚拟化管理系统相连以获得主机和虚拟机的配置信息[参见图8]。7白皮书|趋势科技虚拟化安全图7。无安全代理的客户VM访客VM访客VM访客VM访客VMvSwitchvSwitch安全看门狗VM管理程序图8。虚拟化管理集成核心虚拟中心IDS/IPS安全管理器Vcenter服务器针对非-VC环境,直接连接ESXVIAPIVIAPI管理程序管理程序管理程序VIAPI访客VM访客VM访客VM访客VM访客VM访客VM访客VM访客VM访客VMVC代理趋势科技虚拟化安全在IDS/IPS安全管理器的相似结构中可以显示系统布局,以便于简单而有效地管理物理主机和虚拟机。企业级管理企业级IDS/IPS系统提供与虚拟化管理集成在一起的集中化安全管理。这种功能定义和分发IDS/IPS执行组件的策略,并且收集执行组件所采取操作的事件,诸如被检测到的或已阻止的攻击。在分布式IDS/IPS系统中,集中化安全管理的其它关键因素包括:•管理可扩展性—管理组件本身能够使虚拟化进入多个虚拟机,以获得可扩展的部署和高可用性。•集成点—诸如syslog和Web服务—以便能够将IDS/IPS集成入其它企业级安全元件,包括安全信息和事件管理(SIEM)系统。•支持安全能力—包括基于角色的访问控制和管理员行为的审计历史•第三方评估—诸如用于信息技术安全评估的通用标准的第三方评估有助于确保获得特有的安全参数完备的IDS/IPS功能尽管对于虚拟安全设备和以虚拟机为中心的代理而言,网络流量分析都很常见,在国家标准技术研究所(NIST)对于入侵检测和防御系统的指导中,将基于主机的入侵检测和防御定义如下:•代码分析•网络流量分析—深度包检测和应用程序协议检测•网络流量过滤—防火墙•文件系统监控•日志分析•网络配置监控对于上述每一个功能需要同时在以虚拟机为中心的代理和安全看门狗虚拟机之间进行协作,以确保获得整体一致的安全性。多个虚拟化平台尽管VMware作为虚拟化市场的领导者,仍然有其它厂商正在开发虚拟化平台—包括MicrosoftWindowsServe