獨家解析:虛擬化環境中安全分區問題
虛擬化和云計算都是時下最熱門的話題。我們可以使用客戶端和服務器虛擬化技術來減小數據中心和客戶端規模,也可以整合客戶端和服務器來降低能耗需求,還可以從多個物理機器將服務器移至虛擬服務器上以解決機架空間問題。虛擬化是成功的,因為虛擬化幫助我們解決了很多問題。
然而,還有一個方面是虛擬化沒有解決的,那就是安全問題。虛擬化技術本身并不是安全技術。事實上,虛擬化的安全問題能夠反映出物理環境的安全問題。安全問題在虛擬化環境中變得越來越重要,因為安全問題將對虛擬服務器造成很嚴重影響。
正因如此,我們需要認真考慮虛擬化環境核心安全概念以及相關部署問題。在所有網絡(尤其是虛擬客戶端和服務器網絡)中都適用的一個重要概念就是:安全分區。安全區集合了承擔著共同安全風險或者安全威脅的資源,有幾種方法可以歸納安全區的特點:
·相同安全區的所有成員都承擔著共同的安全風險
·相同安全區的所有成員對于企業有著相似的價值,高價值資產不可能與低價值資產位于同一安全區
·面向互聯網的主機通常與面向非互聯網的主機位于不同安全區
·一個安全區受到破壞并不會影響其他安全區,受破壞的安全區應該是隔離的,不會對其他區造成任何影響
·安全區必須通過物理或者邏輯方式進行分割,必須使用訪問控制設備或者軟件來控制用戶對不同安全區的訪問權。可以使用防火墻來創建物理分割,或者使用先進軟件方式(如Ipsec)來創建虛擬網絡分割。
在虛擬化環境和物理環境中都應該進行安全分區和安全分割,例如可以將安全區按照以下三種簡單分區進行分割:
·互聯網邊緣安全區
·客戶端系統安全區
·網絡服務安全區
下圖顯示的是一個簡單的服務器整合,主要側重于虛擬化項目。這個結構中有一個虛擬服務器,該虛擬服務器控制著防火墻、域控制器、郵件服務器以及文件服務器。這些虛擬機都連接到相同的物理網絡中(就像客戶端系統一樣)。
這其實是一個很糟糕的安全模式,原因如下:
·面向互聯網的虛擬機與網絡服務虛擬機位于同一個虛擬服務器上,互聯網防火墻虛擬機出現問題時,將會對網絡服務機器造成負面影響,而網絡服務器屬于不同安全區。
·客戶端系統與網絡服務虛擬機位于相同的物理網絡,客戶端系統出現問題時,將會對網絡服務虛擬機造成不良影響。客戶端系統應該與網絡服務虛擬機進行分割,放置在不同的安全區。
這是一個簡單服務器整合項目的常見設計,從安全觀點來看,這是個很糟糕的設計。讓我們看看可以怎樣改善這種狀況:
下圖展示的是比圖1更好的安全配置,在這個設計中,添加了第二臺虛擬服務器。第一臺虛擬服務器只控制邊緣安全設備,這能有效分割面向互聯網的防火墻與面向非互聯網的主機,從而成功地將防火墻安全區從網絡服務安全區中分割出來。不管虛擬防火墻還是在虛擬服務器上運行的防火墻受到破壞,位于第二臺虛擬服務器上的虛擬機器都不會受到太大負面影響。
第二臺虛擬機僅控制著屬于網絡服務安全區的虛擬機,不過,客戶端系統仍然與網絡服務虛擬機位于相同物理網絡中。這不是一個最優配置方式,因為如果客戶端系統安全區發生故障,這些安全區之間沒有訪問控制或者安全設備可以限制故障造成的潛在影響。
雖然這種設計優于第一種設計,不過還是有很多地方可以進行改善的,以創造更安全的配置。
下圖顯示的是改進設計,在這個結構中,所有的安全區都被分割開來,位于網絡邊緣的虛擬服務器只包含防火墻陣列。請注意,要想創建這樣一個堅固的涉及,你將需要使用“軟件”防火墻。由于虛擬化在眾多網絡中處于前線位置,在邊緣虛擬服務器設置邊緣防火墻將只是時間問題。現在就可以使用很多廠商提供的類似虛擬產品,如Check Point防火墻或者微軟ISA或者TMG防火墻等。另外還有很多基于Linux的虛擬防火墻。
這個設計中,也有第二臺虛擬服務器,但是請注意,網絡服務虛擬服務器與客戶端系統網絡被控制防火墻的邊緣虛擬服務器物理分割了。這種情況下,邊緣系統可以有多種虛擬防火墻,從而連接到網絡服務物理網絡和客戶端系統物理網絡。或者可以在邊緣虛擬服務器創建更加復雜的防火墻環境,分割連接客戶端網絡系統到網絡服務網絡的防火墻。
這里的關鍵問題是,在屬于不同安全區的系統間有某種類型的物理或者邏輯分割(或者兩者分割形式都有)。互聯網與所有內部網絡分割了,網絡服務虛擬機與客戶端系統是獨立存在的,另外,客戶端系統與網絡服務虛擬機也沒有連接。#p#
在這種結構中,屬于不同安全區的虛擬機被放置在不同的物理虛擬服務器上,非虛擬化資產都使用網絡阻塞點進行了物理或者邏輯分割,例如邊緣虛擬服務器的虛擬防火墻。
隨著虛擬技術的不斷發展,你可能發現客戶端方面的虛擬化正在越來越流行。客戶端虛擬化的途徑之一就是創建一個“虛擬桌面基礎設施”(VDI),有很多方法可以實現這一點,其中有個方法就是在虛擬服務器上托管多個不同的虛擬客戶端系統,然后用戶就可以連接瘦客戶端到這些專用客戶端虛擬機。這種方法的優勢在于“展現虛擬化技術”,這是一種終端服務客戶端經驗,用戶實際連接到虛擬客戶端的整個操作系統中,而不是通常所看到的淡化客戶端終端服務。
在下圖中可以看到,我們添加了第三臺虛擬服務器負責托管VDI。安裝在這臺虛擬服務器的很多客戶端系統和擁有瘦客戶端系統的用戶可以放置在任何地方,因為由于操作系統設在虛擬服務器(而不是在瘦客戶端上)上瘦客戶端幾乎沒有任何攻擊面。在這個結構中,想象客戶端虛擬機上的操作系統被“分流”至瘦客戶端上。
為優化這種基礎設施的安全性,我們仍然需要靠安全分區。為幫助確保對確定安全區的適當分割,你將需要部署第三臺虛擬機來負責VDI并將來自其他安全區的虛擬服務器分離,正如下圖所示。同樣的,屬于不同安全區的資源不能存放在相同虛擬服務器上,而托管屬于不同安全區的虛擬機的虛擬服務器需要相互進行物理或者邏輯隔離。
結語
本文中我們審查了評估虛擬環境安全性的重要考慮問題:網絡安全分區。在很多虛擬化項目中,管理員將更注重虛擬化架構的設計,而忘記虛擬化本身并不是安全技術,也就是說部署在物理網絡的安全架構同樣需要在虛擬網絡部署。在本文中我們得出的結論是,要想解決虛擬化環境安全問題,首先需要鑒別網絡中不同的安全區,然后重新定位位于相同虛擬服務器的相同安全區上的虛擬極其。此外,為避免屬于相同虛擬服務器(或者虛擬群集)的不同安全區的虛擬機混淆,我們還指出在不同安全區間執行訪問控制的網絡安全設備需要防止在適當的位置,這樣就不會互相造成影響。展望未來,我們需要認真考慮VDI和其他客戶端虛擬化技術以及如何隔離屬于高安全區的虛擬客戶端資源等問題。
【編輯推薦】
