虚拟化安全手册.pdf

虚拟化安全手册 虚拟化安全手册 虚拟化是一个广义的术语，是指计算元件在虚拟的基础上而不是真实的基础上运行，是一 个为了简化管理，优化资源的解决方案，这种方案在 IT 领域就叫做虚拟化技术。虚拟化技术 能集中并共享资源，降低成本、优化利用率，正因为有这些优势，未来企业在 IT 基础架构建 设中，将侧重于建设领先的虚拟化 IT 环境。同时在云计算的发展过程中，虚拟化也将扮演重 要支撑角色。但是，虚拟化环境面临着不同于过去物理环境的安全问题，企业要想建立一个可 靠的虚拟化环境，必须重视虚拟化安全问题。 本技术手册将从三个方面，为你详细介绍虚拟化安全挑战，并提供解决策略和方法。 虚拟化环境面临的安全问题 虚拟化技术改变了服务器和数据中心的定义。与物理上独立的、通过网络联接的服务（可 以认为这些服务器是安全的，且可以监测的）相比，虚拟环境是一个“装在盒子中”的隔离 的、自成体系的数据中心，以往通过网络进行的进程间的通信现在只发生在一个 IT 部件中， 毫无疑问，安全问题的影响是非常重要的。那么究竟都有哪些问题呢？ 虚拟化安全未知问题 虚拟化挑战传统安全概念 如何看待虚拟化安全问题 TT 安全技术专题之 “虚拟化安全手册” 第 2 页 共 32 许多公司都已经配置了虚拟化架构来降低成本，提高效率，但是虚拟化方面的安全专家表 示，这些公司应该再次评估他们的安全措施，从而解决这一技术所造成的缺陷。企业应该从哪 些方面来评估虚拟化安全，厂商们又做了哪些努力呢？ 减少虚拟化安全风险需要物理的视角 虚拟化不再是网络安全黑洞 安全厂商致力于解决虚拟化安全的性能问题 实现虚拟化安全的技术策略 认识了虚拟化环境面临的安全问题，具备了看待虚拟化安全问题的视角，本部分我们就具 体介绍解决虚拟化安全问题的策略和方法。包括如何在虚拟化环境中实施 IDS/IPS，vShield Endpoint 和 Edge 功能，在哪里安置防火墙连接等等。 如何应对层出不穷的虚拟化安全问题？ 虚拟化技术的安全：IDS/IPS 实施策略 虚拟化安全：vShield Endpoint 和 Edge 功能 VMware JRE 中的漏洞是否会妨碍虚拟化的实施 虚拟化安全问题：在哪里安置防火墙连接？ 实现虚拟化安全的新方法 TT 安全技术专题之 “虚拟化安全手册” 第 3 页 共 32 虚拟化安全未知问题 虚拟化技术正在数据中心这一领域风靡，有其必然原因。典型的服务器其利用率不足 40%，虚拟化技术有助于更高效的利用技术资源，并可大幅度降低费用。从 EMC 公司的 VMware 业务和其他一些虚拟化平台业务的扩展来看，这一技术很显然正处于快速发展阶段。 通常情况下，安全性问题只是满足需求之后才考虑的问题，这存在很大的问题。虚拟化技 术改变了服务器和数据中心的定义。与物理上独立的、通过网络联接的服务（可以认为这些服 务器是安全的，且可以监测的）相比，虚拟环境是一个“装在盒子中”的隔离的、自成体系的 数据中心，以往通过网络进行的进程间的通信现在只发生在一个 IT 部件中，毫无疑问，安全 问题的影响是非常重要的。 实际上，虚拟化技术会在多大程度上影响工业界在过去 15 年为系统和应用构筑的安全措 施还不清楚。为了把握这些情况，了解虚拟化世界中安全功能的特别之处很重要。 更明确的说，还不可能准确地描述出虚拟化技术所面临的最重要的安全性挑战是什么，但 是可以从以下几个关键点进行考虑。 网络防御变得不再具有实际意义。大多数网络安全防御技术都基于监测数据流，将数据包 或其行为与已知的恶意数据包进行比较，然后采取行动。如果不能监测数据流，则需要在虚拟 服务器内实现一种基于网络的防御方法。换句话说，监测进程间的通信，这些进程间的通信发 生在虚拟机中或是发生在不同物理设备上的虚拟设施之间。 在虚拟化的世界中，网络的定义有很大的不同，且需要不同的防御措施。不管这一问题结 果如何，Blue Lane Technologies 公司和 Refl