博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2973|回复: 1

虚拟化动摇已有的安全策略

[复制链接]
发表于 2011-8-2 20:51:21 | 显示全部楼层 |阅读模式
虚拟化动摇已有的安全策略

[导读]那么虚拟化环境会产生哪些新的安全需求?Network World采访了一些使用VMware和微软Hyper-V的信息安全管理者,他们普遍会部署一些保护虚拟化环境安全运行的产品,包括访问权限的设置、能够隔离开不同虚拟内存系统的应用防火墙以及网络可视化等产品。

  虚拟化使企业能够把多台服务器和设备整合成数量较少的实体机器,提升了企业设备的利用效率。有专家预计,明年企业将会有近一半的服务器工作负载虚拟化。但是,将服务器等设备从实体环境转移至虚拟环境,会破坏原有的部署于独立应用程序之前的访问障碍和其他隐性安全策略。

  那么虚拟化环境会产生哪些新的安全需求?Network World采访了一些使用VMware和微软Hyper-V的信息安全管理者,他们普遍会部署一些保护虚拟化环境安全运行的产品,包括访问权限的设置、能够隔离开不同虚拟内存系统的应用防火墙以及网络可视化等产品。

  新墨西哥人类服务部门:访问权限设置及虚拟化网关防火墙

  新墨西哥人类服务部门的系统主管Gurusimran Khalsa 表示,“我们虚拟化部署已接近100%。”该机构的服务器基于VMware vSphere,并且也将开始部署一个虚拟化桌面项目。该机构的170台基于服务器的虚拟化设备(VMs)运行在本地的数据中心中,并采用了一系列的Web应用程序、多层IT系统、文件服务器、域名服务器、SharePoint和SQL服务器。

  多年前该机构发生了一次非常严重的安全攻击,其敏感数据损失巨大,众多IT员工因此遭到解雇。所以,该机构需要对其IT架构具有更强的控制力,为此,他们部署了进入服务器的双重要素认证方法,并引进“空气隙”以保护敏感数据。但Khalsa表示,随着虚拟化的优势凸显,机构开始引进服务器整合,但并没有完全弄清楚这项转变将对安全带来什么冲击。

  然而,一旦VMware vCenter管理控制台被攻破,其后果将不堪设想。负责安全和管理的主管们越来越担心会发生这样的情况。Khalsa 表示,“管理我们生产环境的vCenter的访问权限成了最重要的一点。”

  为了加强控制,该机构决定安装HyTrust虚拟化应用程序,该程序能够拦截对于虚拟化基础设施的行政请求,并决定这些请求是否与组织的政策一致。Khalsa 表示,“我们仅有少数几个人有vSphere管理员更高的访问权限。” HyTrust能够通过设置,确保只有某些员工才能在特定的主机或集群中启动,并且能够对虚拟化对象进行标识并施行针对性的措施。

  该机构也开始使用Juniper的vGW系列防火墙,该防火墙是Juniper去年12月收购虚拟化安全初创公司Altor Networks后推出的。Khalsa 表示,“该防火墙被置于VM和vSwitch之间。它的设置与常见的防火墙相同,只不过是以最低权限进行设置。”

  Khalsa 表示,当机构依旧使用VLANS来隔离一些服务器的时候,Juniper虚拟化网关防火墙提供了更多颗粒控制,并且能够在VMs上进行自我分析以发现安装在上面的程序并据此设置规则。

  法律公司:加密技术及隔开VMs的应用防火墙

  一家法律公司的首席信息安全官Rick Olejnik表示,“我们虚拟化部署已有80%。”法律公司主要需求之一是保障其存储在VMware ESX服务器环境下的信用卡信息的安全,哪怕这些信用卡号已经无用。一年前,银行和金融机构曾明确表示,依据支付卡行业(Payment Card Industry,PCI)的规则,这些长期未被激活的信用卡号也需要进行保护。

  这也意味着需要对此类信息进行加密。于是8个月前,公司决定部署Vormetric应用的加密密匙管理,以及ESX服务器加密软件以加密PCI静止数据,而代理软件主要负责解密数据以确保Collection Master的应用程序能够访问和处理这些信息。

  Olejnik 表示,“这些工作发生在内核层,并且决不会影响性能问题。”但是除了将加密技术加入虚拟化计算环境之外,另外该法律公司还部署了Palo Alto Networks的应用防火墙产品以隔开VMs。Olejnik表示,“这使我们能够在内部网络上进行细分管理。”

  威灵顿学院:网络可视化

  威灵顿学院主要需求之一是进行更好的威胁监测、流氓软件识别、来宾访问权限控制以及基于VMware ESX虚拟化环境的网络使用可视化。

  总结来看,该大学开始采用ForeScout虚拟应用程序访问控制产品来监控其基于VMware的主机。该控制产品作为VMware访客VM运行,并与ForeScout的物理应用协同工作。学院IT服务和开发主管Tony Whelton表示,ForeScout的虚拟化应用正在进行安全漏洞检测,并且“正在通过局域网对所有流氓流量进行实时扫描。”

  经济发展的美国加州部门负责该州的失业保险、残疾和劳动力服务,服务器正在转向使用基于微软Hyper-V的虚拟化环境。该机构的安全及合规部门主管John Cleveland表示,机构已经采用了超过一半的虚拟化部署,出于安全和数据监控的考虑,机构正在通过使用LogLogic产品来收集其登录信息。“例如,我们希望能够找到一个产品,它能展示在某个时间点谁访问了这个平台。”

  Cleveland表示,服务器虚拟化的发展趋势使虚拟主机的安全性获得了更多的关注。而监测VMs之间的数据流动将带来更大的挑战。在该机构尚未使用基于云计算的服务之前,Cleveland认为转向虚拟化使机构能够在云中利用定制的应用。他发现为了满足合规的需求,虚拟化环境下的安全及内容相关的中央存储库一样的产品需求不断增长。“我觉得我需要一个将这些整合在一起的东西。”
 楼主| 发表于 2011-8-3 08:53:36 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-12-27 10:30 , Processed in 0.086974 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表