虚拟化安全防护解决方案.docx

第 1 页
虚拟化平安解决方案
趋势科技〔中国〕
2021年3月
目录
一、 重新思考效劳器所面临平安问题 3
成为企业生产运行和业务运转根本 3
企业应用改变带来挑战 3
受到不断变化新威胁攻击挑战 3
虚拟化环于领先平安需求更加迫切。平安最正确实践至关重要。论坛其它引导理论包括以下规那么：
防护范围与等级应该针对于并适合出于风险中资产。
商业需要能够提高其灵活性与本钱有效性平安策略
尽管边界防火墙会不断地提供根本网络防护，但是个人系统与数据需要自我防护。
第 6 页
通常，提供防护离资产越接近，越容易保护该资产。
应用上述这些与其它虚拟化数据中心平安理论，现在可以看到存在对于虚拟化平安方法明确需求，即直接将平安机制部署在物理效劳器上防护这些虚拟化系统，从而尽可能近地对资产进展防护。
法律法规带来要求
中安等级保护制度与C-SOX，以及国外PCI, HIPAA, SAS-70, SOX, GLBA等法律法规，从法律上也要求了企业在内部信息系统上，到达一定平安等级与应用一定平安策略。
虚拟化四大平安管理问题
管理程序设计过程中平安隐患会传染同台物理主机上虚拟机，这种现象被称作“虚拟机溢出〞。如果虚拟机能够从所在管理程序独立环境中脱离出来，入侵者会有机可乘进入控制虚拟机管理程序，进而避开专门针对保护虚拟机而设计平安控制系统。虚拟世界平安问题正在试图脱离虚拟机控制范围。尽管没有那家公司会允许平安问题通过管理程序技术方式在虚拟主机间相互传播与蔓延，但这样平安隐患还是存在。因为入侵者或者平安漏洞会在虚拟机之间来回捣乱，这将成为开发者在开发过程中必须面对问题。现在技术工程师通常采用隔离虚拟机方式来保障虚拟环境平安性。保障虚拟环境平安传统方式是在数据库与应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解平安隐忧。这对于虚拟化环境来说是比拟好方法。
，补丁更新负担加重
虚拟机遇到另外一个平安隐患是：虚拟机修补面临更大挑战，因为随着虚拟机增长速度加快，补丁修复问题也在成倍上升。IT管理人们也认同补丁在虚拟化环境中关键性，但是在虚拟机与物理效劳器补丁之间实质区别并非在于平安问题，而是量问题。虚拟化效劳器与物理效劳器一样也需要补丁管理与日常维护。目前，世界上有公司采取三种虚拟化环境--两个在网络内部，一个在隔离区(DMZ)上--大约有150台虚拟机。但这样布置就意味着管理程序额外增加了层来用于补丁管理。但即便如此，还是无法改变不管物理机还是虚拟机上补丁关键问题。另外当效劳器成倍增长也给技术工程师及时增加补丁效劳器数量带来一定压力，他们开场越来越关注实现这一进程自动化工具诞生。
第 6 页
(DMZ)运行虚拟机
通常，许多IT管理人都不愿在隔离区(DMZ)上放置虚拟效劳器。其它IT管理者们也不会在隔离区(DMZ)虚拟机上运行关键性应用程序，甚至是对那些被公司防火墙保护效劳器也敬而远之。
在多数情况下，把资源别离出来是比拟平安方式。这个时候，不管是隔离区还是非隔离区，都可以建立虚拟化环境。就是采用在虚拟资源集群中限制访问方法。每个集群都是自己资源与入口，因此无法在集群之间来回串联，许多IT管理者们致力于将他们虚拟效劳器分隔开，将他们置于公司防火墙保护之下，还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。这样虚拟化架构无非是考虑到平安因素，显然传统做法已经影响了虚拟化架构搭建。
任何新操作系统都是会有漏洞与瑕疵。那这是否意味着黑客就有机可乘，发现虚拟操作系统缺陷进而发动攻击呢工业观察家们建议平安维护人员要时刻对虚拟化操作系统保持警觉，他们存在潜在导致漏洞与平安隐患可能性，平安维护人员只靠人工补丁修护是不够。虚拟化从本质上来说全新操作系统，还有许多我们尚不了解方面。它会在优先硬件与使用环境之间相互影响，让情况一团糟情况成为可能。虚拟化管理程序并非是人们自己所想象那种平安隐患。根据对微软公司销售旺盛补丁Windows操作系统了解，象VMware这样虚拟化厂商也在致力于开发管理程序技术时控制平安漏洞可能性
第 7 页
.
传统方案处理虚拟化平安问题
在广泛应用专门为VMware VMsafe API定制平安解决方案之前，通常采用两种初始方法与平安软件一起来保护虚拟机：
一种是在虚拟化计算环境中应用虚拟平安设备以监控虚拟交换机与访客虚拟机之间通信流量。
尽管虚拟平安设备解决方案提供IDS/IPS防护以防止网络中攻击，但是也存在较大局限性：
内部虚拟机通信流量----必须将虚拟平安设备放置在虚拟交换机前面，即便如此，仍不能防止在同一虚拟交换机上虚拟机之间产生攻击，也无法整合平安设备来设置平安域。
移动性----如果