天平正在傾斜——很快,大多數(shù)網(wǎng)絡(luò)服務(wù)器將被虛擬化。一方面,這意味著更便宜的基礎(chǔ)設(shè)施和維護(hù)以及企業(yè)網(wǎng)絡(luò)的敏捷性。另一方面,這也意味著傳統(tǒng)的基于硬件的安全解決方案(例如,傳統(tǒng)的防火墻、路由器、交換機(jī)等)正在變得過(guò)時(shí)。
當(dāng)您的組織采用虛擬化時(shí),重要的是它還采用虛擬化安全和云安全,以幫助保護(hù)您的網(wǎng)絡(luò)、敏感數(shù)據(jù)和用戶在虛擬化環(huán)境中的安全。繼續(xù)閱讀以了解有關(guān)虛擬化安全的所有信息,包括其優(yōu)勢(shì)、虛擬化所涉及的風(fēng)險(xiǎn)以及安全虛擬化的最佳實(shí)踐。
什么是虛擬化安全?
虛擬化安全(也稱為安全虛擬化)是一種基于軟件的網(wǎng)絡(luò)安全解決方案,旨在保護(hù)虛擬化 IT 環(huán)境。虛擬化——或部署基于軟件的安全性,如下一代防火墻或防病毒保護(hù)來(lái)代替硬件——正迅速成為組織構(gòu)建其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的主要方式。
虛擬化的類型包括:
- 服務(wù)器虛擬化。
- 桌面虛擬化。
- 存儲(chǔ)虛擬化。
- 網(wǎng)絡(luò)虛擬化。
- 應(yīng)用程序虛擬化。
部署嚴(yán)格的基于硬件的網(wǎng)絡(luò)安全解決方案無(wú)法在虛擬化環(huán)境中提供全面的保護(hù)。相反,您必須實(shí)施靈活、動(dòng)態(tài)的虛擬安全解決方案來(lái)滿足您的新基礎(chǔ)架構(gòu)需求。
虛擬化如何幫助降低安全風(fēng)險(xiǎn)?
虛擬化和安全性齊頭并進(jìn),因?yàn)樘摂M化具有固有的安全優(yōu)勢(shì)。例如,虛擬化允許將數(shù)據(jù)存儲(chǔ)在一個(gè)集中位置,而不是存儲(chǔ)在未經(jīng)批準(zhǔn)或不安全的最終用戶設(shè)備上。
虛擬化安全的其他積極影響包括:
- 精細(xì)訪問(wèn)控制:與傳統(tǒng)的基于硬件的基礎(chǔ)架構(gòu)相比,IT 團(tuán)隊(duì)和管理員對(duì)網(wǎng)絡(luò)訪問(wèn)的控制要多得多。團(tuán)隊(duì)可以使用微分段技術(shù)在工作負(fù)載級(jí)別授予用戶對(duì)特定應(yīng)用程序或資源的訪問(wèn)權(quán)限。
- 應(yīng)用程序隔離:虛擬化的一個(gè)關(guān)鍵安全優(yōu)勢(shì)是能夠在網(wǎng)絡(luò)上將應(yīng)用程序彼此隔離。保持應(yīng)用程序隔離可以防止數(shù)據(jù)在它們之間共享,或者免受可能感染系統(tǒng)其他部分的惡意軟件或病毒的侵害。隔離通常通過(guò)容器化和沙盒來(lái)完成。
- 增強(qiáng)對(duì)桌面和應(yīng)用程序更新的控制:操作系統(tǒng) (OS) 和應(yīng)用程序不斷打安全補(bǔ)丁,但您的員工可能無(wú)法跟上其設(shè)備上的這些更新。通過(guò)虛擬化桌面,IT 將擁有完全控制權(quán)以確保操作系統(tǒng)和應(yīng)用程序得到更新。
- 虛擬機(jī) (VM) 隔離:在單個(gè)服務(wù)器上運(yùn)行多個(gè)虛擬機(jī)可實(shí)現(xiàn)高級(jí)別隔離。如果一臺(tái)服務(wù)器的安全性受到威脅,這種分離可以為其他虛擬服務(wù)器提供保護(hù)。
- 網(wǎng)絡(luò)隔離和分段:網(wǎng)絡(luò)上的獨(dú)立工作負(fù)載或應(yīng)用程序可以在相互隔離的分段虛擬網(wǎng)絡(luò)之間進(jìn)行劃分和共享。這確保了信息和訪問(wèn)不會(huì)在整個(gè)網(wǎng)絡(luò)中共享。
- 管理程序維護(hù):創(chuàng)建和運(yùn)行 VM 的管理程序通常需要比基于硬件的解決方案更少的資源,從而使它們的攻擊面更小。另外,管理程序通常會(huì)自動(dòng)更新。
虛擬化會(huì)帶來(lái)任何安全風(fēng)險(xiǎn)嗎?
雖然虛擬化有幾個(gè)安全優(yōu)勢(shì),但您也應(yīng)該注意一些固有的虛擬化安全問(wèn)題。這些風(fēng)險(xiǎn)包括:
- 增加的復(fù)雜性:虛擬化環(huán)境可能很復(fù)雜,尤其是當(dāng)多個(gè)工作負(fù)載和應(yīng)用程序跨不同服務(wù)器遷移時(shí)。這使得 IT 團(tuán)隊(duì)更難遵循虛擬化安全最佳實(shí)踐并在整個(gè)網(wǎng)絡(luò)中維護(hù)一致的策略或配置。
- 虛擬局域網(wǎng) (VLAN) 漏洞:使用 VLAN 時(shí),網(wǎng)絡(luò)流量從軟管路由到防火墻,這可能導(dǎo)致網(wǎng)絡(luò)延遲。此外,無(wú)法檢查 VLAN 上多個(gè) VM 之間的通信,從而使其不安全。
- VM 蔓延:當(dāng)系統(tǒng)中存在未使用和未考慮的 VM 時(shí),就會(huì)發(fā)生 VM 蔓延。由于 VM 非常容易部署,許多 IT 團(tuán)隊(duì)啟動(dòng)了太多 VM——通常部署一個(gè)用于測(cè)試目的,并且在不再需要后不刪除它。未使用的 VM 通常會(huì)被忽略并且不會(huì)收到安全更新,從而使它們未打補(bǔ)丁并且容易受到攻擊。
- 分布式拒絕服務(wù) (DDoS) 攻擊:無(wú)論其隔離如何,在同一臺(tái)服務(wù)器上運(yùn)行的虛擬機(jī)共享該服務(wù)器的資源(例如,CPU、RAM 和內(nèi)存)。如果DDoS 攻擊使 VM 充滿惡意流量以損害其性能,服務(wù)器上的其他 VM 將感受到影響。
- Hypervisor 攻擊:雖然 Hypervisor 的攻擊面相對(duì)較小,但它們?nèi)匀豢赡苁艿綋p害。如果管理程序被成功攻擊,則在同一臺(tái)服務(wù)器上運(yùn)行的所有 VM 都處于危險(xiǎn)之中。這為攻擊者提供了一個(gè)集中的目標(biāo)訪問(wèn)點(diǎn)。此外,管理程序管理員會(huì)監(jiān)督他們的安全憑證,這意味著惡意內(nèi)部人員可以與任何人共享這些憑證。
您組織的云基礎(chǔ)設(shè)施還可能引入固有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)——加劇與虛擬化相關(guān)的風(fēng)險(xiǎn)。
制定虛擬化安全策略的 10 個(gè)技巧
安全虛擬化將有助于確保您組織的系統(tǒng)安全,但僅靠虛擬化無(wú)法完成這項(xiàng)工作。設(shè)置清晰且可操作的虛擬化安全策略非常重要。以下是您應(yīng)該采用的一些虛擬化安全最佳實(shí)踐:
- 確保您的主機(jī)正在運(yùn)行最新的固件,并且所有軟件都定期更新。
- 確保所有活動(dòng)網(wǎng)絡(luò)元素的固件都是最新的。
- 為所有操作系統(tǒng)設(shè)置自動(dòng)更新,并安排在下班時(shí)間進(jìn)行安裝和重新啟動(dòng)。
- 安裝虛擬化防病毒和反惡意軟件并確保其保持更新。
- 明確劃分管理員權(quán)限,輕松跟蹤誰(shuí)在整個(gè)系統(tǒng)中更改了什么,并遵循每個(gè)管理員的最小權(quán)限 (PoLP) 原則。
- 確保所有網(wǎng)絡(luò)流量都已加密。
- 制定明確的用戶政策并對(duì)員工進(jìn)行密碼安全最佳實(shí)踐方面的培訓(xùn)。
- 確保所有虛擬機(jī)都有明確的用途。刪除所有未使用的虛擬機(jī)。
- 為您的 VM 和物理服務(wù)器安排定期備份,以及完整的系統(tǒng)備份。
- 查看和部署VMware 最佳安全實(shí)踐。
