您的位置: 网界网 > 安全 > 正文

虚拟与现实的安全之战

2011年04月20日 16:58:30 | 作者:网界网柴莎莎 | 来源:网界网 | 查看本文手机版

摘要:当云的潮涌来势汹汹之时,虚拟化这项技术也随之被推到了风口浪尖,数据中心的管理人员纷纷要踏上虚拟之路,寻求节约成本、提高管理灵活性的捷径。

标签
安全
虚拟化
云计算

据Gartner公司在2010年11月发布的一份报告称,到2012年,运行在企业数据中心的所有工作负载中的一半将运行在虚拟化的平台上,这包括虚拟化服务器或者云平台,而到了2015年,控制企业内部数据中心的安全软件中,40%的将完全虚拟化。这一系列的数字都表明,虚拟化在未来的几年内都将成为市场关注的重点。正如H3C安全产品部部长马前祖所说:“虚拟化技术一直在不断更新和发展,现在虚拟化技术变得更加复杂和强大了。”

云计算[注]的基石

自云计算概念提出以来,虚拟化就一直伴随在其左右。谈到云计算与虚拟化技术的关系,受访的几位业界人士都表示虚拟化是实现云计算的基础技术或特征技术之一。

绿盟科技行业营销中心技术总监万慧星表示,作为云计算的数据中心,不论是大型数据中心还是小型数据中心,虚拟化都是一种重要的基础性技术。通过虚拟化可以帮助在现有硬件平台上实现弹性架构和资源池化。一方面可提升硬件资源的利用效率,另一方面还可明显提升服务的开通时间、可用性,以及灾难恢复等能力。特别是目前的x86计算机的运算与存储能力都已经非常强大,更可以利用虚拟化技术提高应用效率,降低IT以及运维成本。Gartner首席分析师田宇则表示,虚拟化技术一方面提高了资源利用率,另一方面也使IT部门能够快速响应业务需求。利用虚拟化技术可以通向云计算,而搭建云计算平台却不一定非要采用x86虚拟化,它也不是实现云计算的唯一技术途径。

虚拟化安全:老技术,新课题

虚拟化技术虽然不是一项全新的技术,应用已有多年,但是其带来的安全问题却成为了目前业界的新话题。这是因为随着云计算概念的落地,虚拟化技术将会更加普遍的应用到数据中心中,其带来的各种挑战也成为了数据中心用户不得不面对的事实。

服务器的虚拟化,原理就是将一台物理服务器虚拟成多个虚拟机,以节省服务器资源。对于虚拟机的管理不同于以往对物理机的管理,不那么直接。在软件上对于虚拟机的管理将会比管理物理机复杂很多,则对于数据中心用户和厂商来说都是一个挑战。

除了管理上的挑战之外,虚拟机仍然属于IT资产,那么传统网络中存在的问题,在虚拟化的环境中也会存在,例如对虚拟化资源的DDoS[注]攻击、针对网站的SQL注入、页面篡改、病毒威胁等。而虚拟环境还存在一个致命的威胁,那就是虚拟机之间可能会存在威胁的蔓延,一个虚拟机受病毒感染之后,有可能会感染运行在同一物理服务器上的多个虚拟机,这对于用户来说是非常可怕的。

Check Point中国区技术经理刘刚看来,虚拟化技术带来的安全威胁是与物理世界完全不同的技术与安全建设思路。虚拟环境与物理环境不同,需要完全不同的俺去策略,例如,在物理世界中运行良好的防火墙,如何放入虚拟的环境之中?针对虚拟环境的安全,要建立一种新的思路来达到与物理世界同等要求的安全性,并要用新的技术把防火墙这种硬件的设备迁移到虚拟环境中去。但同时,他也表示,物理环境中的安全技术也不是不可以用在虚拟环境中。

从更高的一个层面来讲,虚拟化为数据中心用户带来的一些安全威胁还包括:风险失控、数据安全、监管风险,以及法律法规合规性等,这更高一个层面的安全风险更是需要新的安全思路去解决虚拟化的安全问题。用刘刚的话说,虚拟化安全问题的解决需要的不仅仅是一项技术,而是一整套的解决方案。因为虚拟世界与物理世界一样,都包含不同种类、不同层次的安全问题,同样也需要一个全面的解决方案,涵盖了不同层次和种类的安全技术来解决上述问题。

新技术解决新问题

针对上述不同种类的虚拟化安全问题,业界也有一些解决方案。但总体来说,虚拟化的安全解决还是一个刚刚起步的新课题。

对于虚拟化的安全,有很多技术上的难点。刘刚认为,实现虚拟化的难点之一是将物理的安全措施向虚拟环境的转移,这也需要安全厂商不断的努力去实现物理与虚拟的同样安全。目前市场上也已经有一些应用较好的虚拟化安全技术。

万慧星表示,目前,针对虚拟化的安全技术一般有授权管理、安全攻防等两类。比如单点访问控制类型技术,主要解决的是跨设备的认证、授权管理和策略强制等问题;安全攻防方面比较典型的是虚拟化的防火墙、IDS、扫描器技术(+本站微信networkworldweixin),防火墙与IDS主要解决虚拟节点间数据流量可视化与控制的问题;扫描器主要是基于虚拟化环境,对虚拟化的平台和相应的VM进行安全扫描,发现安全问题。马前祖也表示,针对虚拟化的安全技术目前主要集中在终端安全防御和网络安全这两块。

另外一个少不了的技术,就是虚拟机之间的隔离问题,Check Point在这方面也很有经验。以Check Point Security Gateway Virtual Edition? (VE)为例,该产品就是一款针对云计算的安全而设计的防火墙技术,帮助动态虚拟环境低于外部和外部的安全威胁。该方案使企业能够利用物理网络中采用的灵活、全面的安全解决方案(包括防火墙、VPN和入侵检测)满足虚拟环境特有的安全、网络和管理要求。

另外,H3C的安全IRF(Intelligent Resilient Framework智能弹性架构)也很有代表性,该架构可以适应未来数据中心高带宽、无收敛、浪潮频繁的特点。这其中以防火墙产品为例,H3C计划在今年作到单台设备200G吞吐,四台设备4:1虚拟后,达到800G吞吐的性能。
 
同样,国内的安全厂商也在积极行动着,绿盟科技就是一个例子。绿盟科技一直积极的投身云计算、虚拟化等新兴领域的安全研究,并于2009年成为国际云安全联盟(在亚太区的首家企业成员,积极的推动云计算有关的安全研究。目前绿盟科技在云计算整体安全框架、虚拟化安全,以及相关解决方案和产品进行着研究和开发。

不管虚拟化是新技术也好,老技术也罢,其带来的安全问题始终是数据中心用户必须面对的问题,就像刘刚所说,虽然虚拟化安全技术还刚起步,但其实“安全无止境”。物理世界的安全技术也不能百分之百保证安全,虚拟世界也一样,只有随需而动的安全,才能够满足未来云计算时代对于安全的要求。


编看编想:虚拟化安全应随需而动

虚拟化的安全问题随着云计算的高涨呼声而成为安全领域关注的新课题,其带来的虚拟安全问题对于厂商和云服务提供商来说是一个新的挑战。与物理世界一样,虚拟世界也包含多种不同的虚拟化技术,例如桌面虚拟化、应用虚拟化、网络虚拟化[注]存储虚拟化[注],以及服务器的虚拟化等等,这就好比对应了物理层的应用层、网络层的安全一样。虚拟世界同样需要不同层次的安全技术。针对虚拟化的安全问题,需要有一个全面的解决方案来分别解决上述不同层次虚拟化带来的安全问题。能够按照不同种类的虚拟化,随需而动,将成为虚拟化安全技术的新方向。


 

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.网络虚拟化:是能够实现网络资源动态调配、动态管理的技术。基本上分成两个部分:其一是网络基础架构本身的虚拟化,比如原来单一的网络可以虚拟化成多个网络,原来多个单一的网络单元也...详情>>

3.软件定义存储:如同云计算的概念刚刚出现时一样,也没有一个确切的定义,但软件定义存储普遍代表了一种趋势,那就是软件和硬件的分离。对于数据中心用户来说,只需要通过软件来实现对自身...详情>>

4.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:柴莎莎 chai_shasha@cnw.com.cn]