当数据中心越来越虚拟化时 保护工作该怎么做?(下)

日期:2015-1-12作者:DAVE SHACKLEFORD

【TechTarget中国原创】

更好的技术控制

在过去几年中,虚拟化专用技术控制领域发生了很多变化。幸运的是,企业安全团队使用的一些工具已经得到显著改善,让IT人员可以在虚拟环境实现与物理环境相当的安全水平。

所有主要防火墙供应商现在都有虚拟化选项,即虚拟设备(专门的VM)。Check Point、思科、Fortinet、瞻博网络和Palo Alto等多家知名厂商都提供各种型号的虚拟设备,这些设备可以整合到虚拟基础设施。Vmware也有自己的vShield系列虚拟防火墙,同时提供内部和外围监控以及流量控制。

然而,很多安全团队并没有广泛使用虚拟防火墙。这个功能存在,只是网络和安全团队仍然感觉其物理防火墙能够处理网络内的流量控制。

对这些设备的管理是另一个挑战。有些虚拟化团队感觉他们应该管理虚拟环境内的所有组件,即使是那些网络或安全相关的组件。

从成熟度的角度来看,网络IDS/IPS可以媲美虚拟防火墙。有时候在虚拟设备也提供这个功能(采用更加统一威胁管理UTM的方法来实现网络安全)。请参见后文的“现状分析:虚拟网络安全工具”。

除了独立的平台,入侵检测在虚拟环境可以更容易得实现,因为虚拟交换机中具有先进的功能。很多交换机(包括来自微软、Vmware、思科和Open vSwitch项目的交换机)允许NetFlow输出,以及端口镜像选项复制流量到专用的入侵检测设备或外部传感器。

端点安全变化

发生显著改变的领域是端点安全。在大多数虚拟化环境,传统防病毒代理太耗费资源,很多传统终端产品并没有完全优化用于虚拟系统。Intel Security(MOVE)和趋势科技(Deep Security)的新技术卸载端点安全处理到专用虚拟机,同时利用本地API调用和内核集成来保持VM的处理要求在低水平。

很多企业还没有部署这些专门的端点安全产品,不过,大部分企业已经开始测试这些工具或者实现有限的部署。在为虚拟环境选择端点安全产品时,安全团队需要注意的事项包括以下:

· 检查供应商产品与你的虚拟化技术的整合水平。目前,Vmware拥有来自新的反恶意软件和其他端点安全供应商的最多支持。微软和Citrix与第三方供应商只有较少的整合
· 注意新的“卸载”模式的局限性和缺点。虽然性能可能会提高,但为行为启发式执行实时扫描和内存分析的能力可能会受到影响。此外,这些产品可能无法在大型环境中很好地扩展。
· 要求供应商提供客户参考,以及在你的端点类型和虚拟化技术内操作相关的性能统计数据和指标。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

虚拟化安全>更多

  • 实施虚拟化:管理员应避免五大安全错误

    如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……

  • 云计算安全凸现新威胁 东软NetEye给你“慧眼”

    近日东软集团网络安全事业部正式对外发布“东软云数据中心FWaaS安全解决方案”,以应对用户面临的云数据中心安全问题。

  • 弹性的安全给弹性的云:东软打造基于OpenStack的FWaaS方案

    云计算在带来弹性的同时,也冲撞着原有的网络边界,而对于云数据中心的安全来说,传统网关技术已无能为力,急需一套专门为云数据中心打造的边界安全方案。这也是为什么云提供商会积极联合安全厂商共建云安全生态圈的原因,在为用户带来弹性计算资源的同时,亦解决安全如何随着用户计算资源的增加而弹性扩展的问题。

  • 当数据中心越来越虚拟化时 保护工作该怎么做?(上)

    随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这种环境下的安全性。然而很多公司不得不面对的现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准……

相关推荐

技术手册>更多

  • 防火墙架构

    企业的防火墙设计和安装是一项艰巨的工作。在设计过程中对防火墙的选择在以后的多年中对安全的意义深远。在这一系列文章中,我们将详细探讨防火墙的安装,希望对防火墙设计的过程会有帮助。
    我们将会分四个部分来探讨。

  • 缓冲区溢出防范策略

    软件是一种典型的以有效的方式操纵数据的书面形式的产品。这些数据可以是文本,图像,视频或声音;但是,就程序而言,本质上它只是一串数据——通常以字节(8位数据)的形式代表某些意义(例如,颜色或文本字符)。当一个程序员申明一个缓冲区时,非常容易申请一个可能不适合程序后来的指针使用的缓冲区,或者可能会在没有很充分地验证输入时接受超出缓冲区大小的数据。这就涉及到缓冲区溢出的问题,本手册将围绕这一问题展开讲解。

  • 安全补丁管理指南

    补丁管理已经困扰企业很多年了。随着技术的进步和攻击者对漏洞攻击方法的开发,电脑安全的管理在维护业务架构的完整性上越来越重要了。作为一种提前的主动行为,安全补丁管理是保护企业电脑架构的防御前线。补丁管理是使电脑和现有的软件产品开发的更新保持一致的人、程序和技术。安全补丁管理是关注减少安全漏洞的补丁管理。

  • 黑客攻击技术和策略

    黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

接续阅读《当数据中心越来越虚拟化时 保护工作该怎么做?(上)》

更好的技术控制

在过去几年中,虚拟化专用技术控制领域发生了很多变化。幸运的是,企业安全团队使用的一些工具已经得到显著改善,让IT人员可以在虚拟环境实现与物理环境相当的安全水平。

所有主要防火墙供应商现在都有虚拟化选项,即虚拟设备(专门的VM)。Check Point、思科、Fortinet、瞻博网络和Palo Alto等多家知名厂商都提供各种型号的虚拟设备,这些设备可以整合到虚拟基础设施。Vmware也有自己的vShield系列虚拟防火墙,同时提供内部和外围监控以及流量控制。

然而,很多安全团队并没有广泛使用虚拟防火墙。这个功能存在,只是网络和安全团队仍然感觉其物理防火墙能够处理网络内的流量控制。

对这些设备的管理是另一个挑战。有些虚拟化团队感觉他们应该管理虚拟环境内的所有组件,即使是那些网络或安全相关的组件。

从成熟度的角度来看,网络IDS/IPS可以媲美虚拟防火墙。有时候在虚拟设备也提供这个功能(采用更加统一威胁管理UTM的方法来实现网络安全)。请参见后文的“现状分析:虚拟网络安全工具”。

除了独立的平台,入侵检测在虚拟环境可以更容易得实现,因为虚拟交换机中具有先进的功能。很多交换机(包括来自微软、Vmware、思科和Open vSwitch项目的交换机)允许NetFlow输出,以及端口镜像选项复制流量到专用的入侵检测设备或外部传感器。

端点安全变化

发生显著改变的领域是端点安全。在大多数虚拟化环境,传统防病毒代理太耗费资源,很多传统终端产品并没有完全优化用于虚拟系统。Intel Security(MOVE)和趋势科技(Deep Security)的新技术卸载端点安全处理到专用虚拟机,同时利用本地API调用和内核集成来保持VM的处理要求在低水平。

很多企业还没有部署这些专门的端点安全产品,不过,大部分企业已经开始测试这些工具或者实现有限的部署。在为虚拟环境选择端点安全产品时,安全团队需要注意的事项包括以下:

· 检查供应商产品与你的虚拟化技术的整合水平。目前,Vmware拥有来自新的反恶意软件和其他端点安全供应商的最多支持。微软和Citrix与第三方供应商只有较少的整合
· 注意新的“卸载”模式的局限性和缺点。虽然性能可能会提高,但为行为启发式执行实时扫描和内存分析的能力可能会受到影响。此外,这些产品可能无法在大型环境中很好地扩展。
· 要求供应商提供客户参考,以及在你的端点类型和虚拟化技术内操作相关的性能统计数据和指标。

虚拟机管理程序日志收集

目前,很多企业的虚拟环境内的日志记录和监测非常不成熟。

最大的问题是从虚拟机管理平台进行日志收集,很多企业根本没有这样做或者做得不够。虚拟机管理程序平台会生成各种日志信息,告诉你谁正在使用该平台、正在进行什么类型的活动、性能和行为统计数据等。例如,Vmware是ESXi虚拟机管理程序包含以下日志信息,安全和运营团队应该这些日志进行收集:

· /var/log/syslog.log – 通用系统日志文件
· /var/log/auth.log - 身份验证和安全事件
· /var/log/vmkernel.log - 其他虚拟机管理程序的信息
· /var/log/hostd.log - Master ESXi服务日志
· /var/log/vpxa.log - vCenter 管理代理日志

大多数基于Linux的虚拟机管理程序(Xen、KVM、Vmware)本身包含某种系统日志守护进程,这使得日志收集和汇总更简单。在Hyper-V环境中,应该使用针对Windows Event Viewer的日志代理,虽然Microsoft System Center工具也可以从分布式管理程序检索日志和事件数据。

安全团队应该收集其环境中所有虚拟机管理程序的所有相关日志信息,并整合这些信息到中央日志管理和SIEM平台进行分析和关联。

最后,在大多数企业,仍然需要解决物理和虚拟环境内部署的安全技术之间的差距。但目前很多IT和安全团队迟迟没有部署必要的政策和流程来更好地管理虚拟化平台和虚拟机。

随着企业对虚拟数据中心的投资增加,企业安全团队应该认真评估虚拟化专有安全工具,而首席信息安全官应该部署和改进虚拟化管理及操作相关的政策和流程。现在虚拟环境内的安全性并没有达到物理系统和网络的水平,但随着虚拟技术的发展以及政策到位,这个问题可以得到解决。

现状分析:虚拟网络安全工具

在评估虚拟设备时,企业团队应该考虑以下方法来提高虚拟网络安全性:

确定你是否需要虚拟防火墙来对发送到、发送自虚拟化或云计算基础设施及其内部的流量进行控制。在某些情况下,因为合规目的,或者为了实现比现有物理防火墙及架构可提供的流量控制更细粒度的控制,企业可能需要虚拟防火墙。

确保你的虚拟IDS/IPS或防火墙供应商支持你主要的虚拟技术。目前,大多数供应商支持VMWare,而Xen和Hyper-V平台的支持则很有限。

考虑虚拟设备需要多少资源—它们需要内存、磁盘空间和CPU。

考虑防火墙和IDS/IPS管理相关的管理问题。在大多数情况下,可以让当前管理防火墙和IDS/IPS的团队管理虚拟模式。