无论是通过VMware的vMotion还是微软Hyper-V的Live Migration实现的移动性都确保了高的运行时间,然而,这种移动性还引入了很多与安全有关的潜在问题。
如果虚拟机可以移动,它们将如何被控制?如果它们可以在任何位置,你该如何部署控制?
幸运的是,IT部署虚拟化的惊人速度催生了高水平的安全指导,而这比心态上的整体转变还要快。在提高动态虚拟环境的网络安全性时,请考虑以下三个关键步骤:
分离虚拟机管理和从虚拟机操作迁移是很重要的步骤。
技巧1:从虚拟机操作分离虚拟机管理。 这个技巧最常被忽略,而这也是最重要的技巧之一。
首先,考虑一下虚拟机可能的操作:电源开启和关闭、重新启动其操作系统、创建和管理快照(snapshot),以及在其操作系统内工作或者远程化其控制台。
记住这些操作,现在将它们分成截然不同的两部分。第一部分是再虚拟机内完成的操作,例如管理或者说运作其操作系统。第二部分是对虚拟机本身进行的操作,例如打开电源开关或者创建快照。最佳网络安全做法建议第二部分的操作应该隔离到其自身的独立的高度控制的网络中。
如果这种隔离还是让你感到困惑,那么可以想一想对实体计算机的操作。在实体计算机上,有电源按钮、网络接口,以及直接(或逻辑地)连接到机箱的各种形式的管理工具。你需要按下电源按钮来关闭机器,电源按钮就在机箱上。连接网络也需要你将网线插入机箱。
在现实世界,需要通过指纹识别和证件进入数据中心房间后,才能够进行这些操作。如果虚拟化环境没有部署身份验证系统,而任何人都可以直接操作,这就像将数据中心房间的大门敞开。将这些操作(通常是通过系统管理程序的“管理连接”来设定)隔离到它们自己的网络等于重新锁上了虚拟数据中心的大门。
技巧2:从虚拟机操作中隔离虚拟机迁移。如果说,技巧1是最容易被遗忘的最佳做法,那么技巧2则紧跟其后。很多IT专业人士并不一定知道,在vMotion或者Live迁移期间,一些管理程序并不会对两台主机间传递的内存状态信息进行加密。
现在,从很多类型的恶意软件行为的角度,想一想这种设计目的。这些恶意软件行为都是关于捕捉以及重新配置内存数据值,通过重新配置某些内存数据值,恶意软件可以将其自身“插入”到内存中,然后将其有效载荷放入内存,恶意软件就可以在不被系统察觉的情况下进行任何操作。
虽然虚拟机是在主机上运行,但它们地内存仍然受到操作系统架构内元素的保护。然而,在迁移过程中,这些元素被规避了,以将虚拟机的内存状态从一台主机传递到另一台。虽然这种情况很短暂并且不可预知,但是这仍然为潜在攻击者提供了一次绝佳的机会。
尽管这个漏洞很难被利用,但是迁移流量应该被隔离到自己的网络还有第二个原因:性能保证。迁移是时间敏感事件,特别是当很多迁移需要同时进行的时候。通过将其流量隔离到独立的网络路径,可以帮助确保快速执行迁移的最佳环境。
正确的网络隔离政策帮助确保最佳虚拟机操作。
技巧3:从虚拟机操作分隔虚拟机存储。 从这些建议中,你看得出主题是什么吗?很明显,适当的网络隔离是确保最佳虚拟机操作的最重要因素。
存储问题与上述技巧1和技巧2有所不同。众所周知,存储连接是极其消耗资源的。虚拟机到其磁盘的连接通常需要大比例的千兆或万兆连接。将存储隔离到自身网络避免了一个连接类型影响其他连接的吞吐量问题。
从安全角度来看,应该认识到一些存储连接类型可能需要特别注意,例如iSCSI或者FCoE连接。在存储流量传递不被虚拟环境管理员完全信任的网络中,这个建议显得尤为重要。iSCSI和FCoE都配备了身份验证协议以确保目标和发起者在传递流量前互相确定身份。
在加密流量以及流量在发起者和目标之间的传递方面,这两种协议只能提供有限的支持。现在有很多技术可以完成这个任务,然而,在实际操作中并不是那么理想。加密要求在源头和目标处进行额外的处理工作,而这种处理将影响或者降低性能。
加密还会对下游活动造成不良影响,例如如果在其配置中没有进行特殊关注,将会出现复制问题。在选择加密路径前,请咨询制造商。在确保传递过程的安全方面,可能需要不同的硬件、软件或者配置。
热门专题
