雲安全聯盟近期釋出了雲安全指南第三版,相對於2009年底釋出的2.1版,這個版本對雲安全的論述更全面,更精確。內容從76頁增加到了177頁,還增加了一個域:安全即服務。

本人目前專注的領域是虛擬化與雲端計算,因此特別關注安全指南的第13部分(虛擬化)和第14部分(安全即服務),今天先來談談第13部分,與大家交流一下虛擬化基礎架構的安全性問題。

虛擬化是IaaS的基礎,在公有云與私有云中都有廣泛應用,隨著雲端計算時代的到來,越來越多的企業開始大規模應用虛擬化技術,伺服器虛擬化與桌面虛擬化是兩個主要的應用領域。

虛擬化的好處很多,可以通過伺服器整合,多租戶共享來提高資源利用率,降低成本;可以通過自動化來提高敏捷性,降低維護工作量,實現零接觸式管理。


著虛擬化技術的應用越來越廣泛,虛擬化平臺的安全性也開始引起人們的關注,從架構上來說,虛擬化在傳統IT架構的基礎上增加了虛擬化層,勢必會引入新的安
全風險,虛擬化靈活便利,在提高效率的同時也會帶來安全挑戰,我們必須瞭解,正視並解決與虛擬化平臺相關的安全性問題,以保證企業虛擬化與雲端計算戰略的順
利實施。

與虛擬化架構相關的主要安全性問題總結:

1,虛擬化層安全性(Hypervisor Security)

從安全的角度看,虛擬化層的引入,會增加安全風險,因此,我們必須對虛擬化層本身的安全性加以特別關注。安全性較高的虛擬化層應該具備下述特徵:

a,Hypervisor要精簡,越精簡則存在漏洞的可能性越小,***面越小,安全性越高。
b,專用系統的安全性高於通用系統。
c,系統本身要提供如防火牆一類的安全防護技術。
d,Hypervisor要有完善的驗證,授權與審計功能。

2,虛擬機器整固(VM Guest Hardening)

有了虛擬化技術,我們可以通過模板來置備虛擬機器,通過快照來恢復虛擬機器狀態,這些操作點點滑鼠,瞬間即可完成,IT流程受此影響,都會有較大的變化。就此部分而言,我們需要注意以下安全性問題:

a,虛擬機器模板建立之後,就很少更新了,而且基本上是不開機的,我們需要特別注意模板的合規性與安全性,因為生產虛擬機器都是基於模板建立出來的。
b,生產系統的變更會更頻繁,因此需要通過技術手段持續保證Guest OS的健康。
c,虛擬化軟體本身如果能夠為虛擬機器提供防病毒,防火牆,***檢測,配置管理,補丁管理等功能,將對虛擬機器保護提供極大的便利。

3,虛擬機器之間的***行為及監控盲點(Inter-VM Attacks and Blind Spots)

虛擬化對網路安全的影響巨大,傳統的安全技術和產品同樣可以應用於虛擬化平臺,但其保護能力可能不足,有必要對其進行改良以滿足虛擬化平臺的安全需求。

a,採用傳統的物理安全裝置,可能無法對虛擬機器和虛擬機器之間的流量進行監控。
b,虛擬化平臺通常提供線上漂移技術,也提供高可用保護功能,虛擬機器的動態變化給安全防護出了難題,安全防護系統如果不能自動適應這種變化,將極大地增加管理難度。
c,在虛擬機器內部部署主機防火牆可以解決上述問題,但是會增加管理難度,影響虛擬機器效能。
d,虛擬化廠商與安全廠商一起合作,虛擬化廠商提供驅動與介面供安全廠商使用,也是一種手段。
e,業界的趨勢是採用虛擬的安全裝置代替物理的安全裝置,可以有效解決上述問題。

4,對虛擬化平臺效能的擔憂(Performance Concerns)

虛擬化在成本節省,簡化管理方面效果顯著,但是使用者普遍擔心虛擬化平臺的效能能否滿足應用的需求,特別是高峰時段的效能需求。對於效能方面,我們需要關注以下幾個方面:

a,選擇好的Hypervisor很關鍵,要充分了解並比較虛擬化層的開銷,損耗,資源管理機制等。
b,科學決定整合比,整合比過低,則資源利用率不高,整合比過高,則可能導致效能問題。
c,合理配置物理機的硬體資源,記憶體和儲存通常是影響虛擬化平臺效能的關鍵點。搭配虛擬機器,以提高整合比和利用率。
d,虛擬化層要有嚴格的資源分配控制,有效防止“鄰位干擾”,要保證在任何情況下,虛擬節點都不能超限額使用CPU,記憶體,儲存及網路資源。
e,要有良好的線上資源調配手段,確保在擴容和調配資源時不會導致計劃內停機。
f,要有好的監控手段,及時發現效能問題,快速解決效能問題。

5,虛擬機器加密(VM Encryption)

虛擬化技術把計算環境轉化成了一堆檔案,從而使我們可以很方便地管理和使用虛擬機器,但是同時也帶來了安全性問題,虛擬機器中的資料可能更容易竊取。


有效的手段就是虛擬機器加密,實時加密比較有效,但是會在一定程度上影響效能,可以有選擇地應用這一技術,對於那些需要較高安全性的系統,效能上的犧牲是值
得的。如High Cloud Security的解決方案(http://www.highcloudsecurity.com/)。

也可以採用磁碟加密技術,如AlterBoot的解決方案(http://www.alertboot.com/)。

此外,還應該有虛擬機器資料銷燬(VM Data Destruction)機制,靠虛擬機器粉碎機徹底清除虛擬機器檔案資料,以免造成資料的洩露。

6,資料的混合(Data Comingling)

傳統IT架構下,網路被分隔為多個相互獨立的安全區域,不同區域採用不同的安全策略,區域之間的訪問被嚴格控制。虛擬化平臺,區域的劃分面對挑戰,為了保證系統和資料的安全,我們需要關注:

a,物理邊界(Air Gap)消失,為了保證安全,需要劃分邏輯邊界的有效手段。
b,安全性與合規性保證技術要能夠識別邏輯邊界,要保證可以隨時根據業務或部門的不同將虛擬機器劃分到相應的區域,並且能夠為不同的邏輯分割槽應用不同的安全策略。
c,當虛擬機器的安全狀況發生變化(如感染病毒或合規性發生改變等)時,應該將虛擬機器置於特定的隔離區域,以保證平臺中其它系統的安全。

[完]