1 云計(jì)算和虛擬化的安全問題
云計(jì)算的前景已毋庸置疑。但當(dāng)前用戶在考慮應(yīng)用云計(jì)算服務(wù)時(shí)還存有各種疑慮,其中安全問題占據(jù)所有擔(dān)心要素的首位。國外許多云計(jì)算數(shù)據(jù)中心都遭受過黑客和病毒的攻擊,出現(xiàn)過斷網(wǎng)現(xiàn)象。甚至云計(jì)算的倡導(dǎo)廠商谷歌、亞馬遜、微軟的在線服務(wù)也發(fā)生過宕機(jī)事件,導(dǎo)致網(wǎng)站長時(shí)間不能提供服務(wù),影響波及大量用戶。這些安全事件引發(fā)了云計(jì)算信任危機(jī),也反映出云計(jì)算本身確實(shí)存在缺陷,尚不完善。今后一段時(shí)間內(nèi),制約云計(jì)算業(yè)務(wù)普及開展的重要挑戰(zhàn)是安全問題。
云安全技術(shù)多集中在虛擬化安全方面。虛擬化是云計(jì)算的支撐技術(shù),它實(shí)現(xiàn)了各種資源的邏輯抽象和統(tǒng)一表示,用以支持云計(jì)算中心根據(jù)用戶業(yè)務(wù)需求的變化,快速、靈活、彈性地調(diào)用,響應(yīng)用戶的應(yīng)用請求并提供服務(wù),提高資源的利用率。然而,虛擬化的結(jié)果,卻使得許多傳統(tǒng)的安全防護(hù)手段面臨著新的挑戰(zhàn)甚至失效。從技術(shù)層面上講,云計(jì)算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬化的環(huán)境,也正是這一區(qū)別導(dǎo)致其安全問題有別于傳統(tǒng)模式。虛擬化環(huán)境下計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變,帶來了應(yīng)用進(jìn)程間的相互影響更加難以監(jiān)測和跟蹤,數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜,傳統(tǒng)的分區(qū)域防護(hù)界限模糊,對使用者身份、權(quán)限和行為的鑒別、控制與審計(jì)變得更為重要等一系列問題,對安全提出了更高的要求。
虛擬化環(huán)境下的安全防護(hù)問題成為IT界一個(gè)新的關(guān)注焦點(diǎn)。在實(shí)現(xiàn)功能的同時(shí),追求效能最大化始終是任何一種技術(shù)所推崇的。如何在虛擬化環(huán)境下既能達(dá)到安全防護(hù)目的,又能節(jié)約IT資源,降低管理成本,需要有全新的思路。“無代理(Agentless)安全模式”將是最有希望的安全解決方案之一。
無代理安全模式是相對于傳統(tǒng)有代理安全模式而提出的,所以要理解無代理安全模式的優(yōu)勢,需要將兩種模式進(jìn)行一下對比,分析各自的工作特點(diǎn)及利弊之處。
2 虛擬化環(huán)境有代理安全模式的弊端
虛擬化的早期階段,安全解決方案尚無適應(yīng)虛擬化環(huán)境的防護(hù)模式,人們只能沿用傳統(tǒng)的安全防護(hù)策略,即在每臺(tái)虛擬機(jī)上部署安全防護(hù)產(chǎn)品套件,即所謂的“安全代理”,這種安全防護(hù)模式稱為“有代理模式(Agent-based)”。但隨著云計(jì)算和虛擬化技術(shù)大規(guī)模的應(yīng)用,此種模式已顯現(xiàn)出多種弊端,主要體現(xiàn)在幾方面。
1)傳統(tǒng)安全軟件都是基于物理機(jī)開發(fā)的,而非專門為虛擬化環(huán)境定制設(shè)計(jì),尤其是沒有考慮針對虛擬化環(huán)境下的資源共享進(jìn)行優(yōu)化。因而每一臺(tái)虛擬機(jī)都安裝安全軟件的部署模式,對物理宿主機(jī)的存儲(chǔ)空間、內(nèi)存資源占用較大。當(dāng)上百臺(tái)虛擬機(jī)在同一時(shí)間開啟病毒庫自動(dòng)升級或者自動(dòng)進(jìn)行云查殺,同時(shí)需要調(diào)用網(wǎng)絡(luò)資源,數(shù)據(jù)中心的網(wǎng)絡(luò)資源將面臨極大的壓力,甚至超負(fù)荷導(dǎo)致癱瘓,耗盡網(wǎng)絡(luò)帶寬,導(dǎo)致正常業(yè)務(wù)中斷,這就是所謂的“防病毒風(fēng)暴(AV Storms)”。這顯然違背了云計(jì)算使用虛擬化技術(shù)節(jié)約IT資源的初衷,分散部署安全代理軟件的模式降低了虛擬化本應(yīng)帶來的好處,導(dǎo)致了對服務(wù)器整合工作的不必要消耗。
2)云計(jì)算數(shù)據(jù)中心需要部署多種應(yīng)用系統(tǒng)運(yùn)行在不同的虛擬機(jī)中,各個(gè)虛擬機(jī)及應(yīng)用系統(tǒng)之間的安全防護(hù)和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)。由于傳統(tǒng)硬件的安全設(shè)備只能部署于物理邊界,如入侵檢測設(shè)備IDS,一般利用交換機(jī)的端口鏡像功能,監(jiān)控外部網(wǎng)絡(luò)對DMZ區(qū),以及DMZ區(qū)內(nèi)部不同物理服務(wù)器之間的攻擊行為。但在虛擬化環(huán)境中,位于同一臺(tái)物理宿主機(jī)上的不同虛擬機(jī)之間的通信可能不經(jīng)過網(wǎng)絡(luò)交換機(jī),利用傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備觀察虛擬機(jī)間的通信方法失效,因而無法檢測或抑制源于同一物理主機(jī)的虛擬機(jī)的攻擊。如果攻擊者攻克了一臺(tái)虛擬機(jī),獲得了對其控制權(quán),就可以對宿主機(jī)上的其他虛擬機(jī)發(fā)起攻擊,進(jìn)而獲得整個(gè)服務(wù)器群的控制權(quán),造成業(yè)務(wù)系統(tǒng)崩潰。如何增強(qiáng)虛擬環(huán)境內(nèi)部虛擬機(jī)流量的可視性和可控性,提供虛擬環(huán)境內(nèi)部的網(wǎng)絡(luò)安全防護(hù),傳統(tǒng)的安全產(chǎn)品無能為力。
3)各虛擬機(jī)分散地防護(hù)(即有代理模式),不能保證各自均更新為最新版本,補(bǔ)丁完整得到了加固。因?yàn)樘摂M化的初衷之一是綠色環(huán)保、低碳節(jié)能,當(dāng)負(fù)載低時(shí)可以自動(dòng)休眠某些虛擬機(jī),當(dāng)負(fù)載高時(shí)重新激活這些虛擬機(jī)。但在虛擬機(jī)休眠期間,病毒代碼庫和安全補(bǔ)丁是無法更新的,可能出現(xiàn)大量安全漏洞,一旦激活、聯(lián)機(jī)后將可能立即受到攻擊。在快照還原、休眠、激活過程中,同步且一致性地為這些安全策略已過期的虛擬機(jī)更新為最新安全策略是不可能的。攻擊者可以利用這個(gè)時(shí)期攻擊虛擬機(jī),只要某一臺(tái)虛擬機(jī)存在漏洞,出現(xiàn)安全防護(hù)的“短板”,就可能對整個(gè)虛擬化環(huán)境造成安全威脅,這也符合“木桶原理”。
4)在虛擬化動(dòng)態(tài)環(huán)境中,新的虛擬機(jī)自動(dòng)進(jìn)行設(shè)置、重新配置,甚至自動(dòng)遷移。這使得管理員在追蹤、維護(hù)和實(shí)施安全策略時(shí)變得異常困難,分散管理模式的成本急劇增大,已難以適應(yīng)。
綜上所述,全新的虛擬化環(huán)境若仍然搭配傳統(tǒng)的類似垂直式部署的安全防范策略,無疑影響了虛擬平臺(tái)的使用效率,也勢必降低整體安全性。
3 虛擬化環(huán)境無代理安全模式的優(yōu)勢
無代理安全模式基于宿主機(jī)整體考慮,以一個(gè)真實(shí)物理機(jī)為一個(gè)管理單位,用戶無需在每個(gè)虛擬機(jī)中部署安裝安全防護(hù)代理程序,將安全防護(hù)進(jìn)程移出各個(gè)單獨(dú)的虛擬機(jī),集中部署在一臺(tái)虛擬安全服務(wù)器中運(yùn)行,分時(shí)掃描各應(yīng)用服務(wù)器虛擬機(jī),管理虛擬化環(huán)境下其他所有虛擬機(jī)的安全防護(hù)。因?yàn)榘踩⻊?wù)器虛擬機(jī)直接部署在虛擬化平臺(tái)上,對下層資源配置和利用情況具有完全的感知與掌控,充分利用虛擬化環(huán)境下對資源請求的時(shí)間差,統(tǒng)一調(diào)度,統(tǒng)計(jì)復(fù)用資源。這樣,就避免了相同的安全防護(hù)進(jìn)程在各虛擬機(jī)中并行地運(yùn)行,并發(fā)地耗用底層資源,而改變?yōu)橛梢粋(gè)虛擬安全服務(wù)器串行地運(yùn)行,均衡了負(fù)載和資源的利用。
安全虛擬服務(wù)器可采用經(jīng)過加固的專用系統(tǒng),安全級別高,從而顯著提升了無代理模式下的整體安全性。用戶只需安裝一次安全防護(hù)套件,一次性部署,然后對這臺(tái)安全虛擬服務(wù)器隨時(shí)在線升級和維護(hù),對虛擬環(huán)境的性能不會(huì)造成顯著影響。由于避免了各虛擬機(jī)重復(fù)性更新,也就避免了“防病毒風(fēng)暴”等現(xiàn)象。只要保護(hù)好這臺(tái)虛擬安全服務(wù)器,就能夠讓其他所有虛擬機(jī)得到最新的安全防護(hù)。從這一點(diǎn)看,在虛擬化環(huán)境中,集中式的無代理安全防護(hù)模式的安全性要高于分散式有代理安全防護(hù)模式。
因?yàn)樵诟魈摂M機(jī)上取消了安全防護(hù)代理程序,因此可以幫助底層宿主機(jī)降低負(fù)擔(dān)。近年來,惡意程序劇增,病毒庫、補(bǔ)丁庫體積越來越大,分散部署的有代理安全模式要占用大量資源。而采用無代理安全模式,當(dāng)虛擬機(jī)數(shù)量較大時(shí),節(jié)省的資源數(shù)量將非?捎^,可以提高虛擬機(jī)密度,獲得最大化效能。有測試報(bào)告表明,使用無代理安全防護(hù)模式,虛擬機(jī)器的整合率比使用分散的有代理安全防護(hù)模式提高數(shù)倍甚至一個(gè)數(shù)量級。降低了以犧牲性能獲得虛擬化安全的制約。
無代理安全解決方案具有實(shí)時(shí)性,對于處于休眠狀態(tài)的虛擬機(jī),一旦激活便可以立即獲得最新的防護(hù),甚至對新克隆或安裝的虛擬機(jī)裸機(jī)也同樣,解決了虛擬機(jī)啟動(dòng)中的防護(hù)間隙(Instant-On Gap)問題。并且,安全虛擬服務(wù)器可以及時(shí)攔截并檢查虛擬機(jī)內(nèi)部通信,防止虛擬機(jī)間的攻擊。
從易管理的角度來看,采用無代理安全防護(hù)模式,云計(jì)算數(shù)據(jù)中心在擴(kuò)展、遷移虛擬機(jī)時(shí),無需再次部署、設(shè)置安全解決方案,更新代理程序,虛擬機(jī)的遷移、資源的利用更具彈性。由于提供了統(tǒng)一管理機(jī)制,變分散管理為集中管理,大大降低了管理工作的復(fù)雜性和成本,省時(shí)、省力、省資源,因此總體上降低了企業(yè)的IT成本。在運(yùn)維成本已占IT行業(yè)運(yùn)營總成本極大比例的今天,無疑具有重要的現(xiàn)實(shí)意義,容易被企業(yè)所接受。因此無代理模式不僅可用于安全防護(hù),進(jìn)而可推廣成為全面的統(tǒng)一管理平臺(tái)。
無代理安全模式有效避免了有代理模式下產(chǎn)生的諸多負(fù)面效應(yīng),順應(yīng)了從分散走向集中的趨勢,符合云計(jì)算、虛擬化、透明化、資源整合、集中統(tǒng)一管理的理念和技術(shù)潮流,未來必將成為大勢所趨。
4 無代理安全模式目前存在的問題
無代理安全模式作為一項(xiàng)新技術(shù)(或許是一種過渡技術(shù)),目前還存在一些問題。
1)每臺(tái)虛擬服務(wù)器運(yùn)行的應(yīng)用對安全防護(hù)策略的要求不盡一致,因而集中設(shè)置的防護(hù)策略區(qū)分粒度不夠精細(xì),不易實(shí)現(xiàn)差異化策略設(shè)定。
2)如果安全虛擬服務(wù)器被攻破,則全體應(yīng)用服務(wù)器虛擬機(jī)的安全防護(hù)隨之瓦解,出現(xiàn)單點(diǎn)失效問題。
3)無代理安全模式目前主要用于防病毒,因?yàn)閼?yīng)用服務(wù)器虛擬機(jī)中無任何代理,其他安全措施,如:基于主機(jī)的入侵檢測(HIDS)、IPS、防火墻、審計(jì)、防黑、反垃圾郵件等方面必然較弱,安全防護(hù)的深度和廣度還存在局限性。有代理模式分層掃描可做的較為細(xì)致,防護(hù)能力強(qiáng)。在無代理模式下,達(dá)到同樣目的時(shí)效性可能會(huì)差一些。
4)同一虛擬平臺(tái)上運(yùn)行不同操作系統(tǒng)的虛擬機(jī),由于操作系統(tǒng)結(jié)構(gòu)不同,可能出現(xiàn)漏殺現(xiàn)象。
5)不支持跨虛擬化平臺(tái)的使用。不同虛擬化平臺(tái)提供給虛擬安全服務(wù)器的接口不同,受到不同虛擬化平臺(tái)遷移的限制。
6)被保護(hù)虛擬機(jī)必須留有開放接口,以使虛擬安全服務(wù)器掃描,這相當(dāng)于在虛擬服務(wù)器上開了一些后門,會(huì)帶來一定安全風(fēng)險(xiǎn)。
由此可見,目前有代理和無代理安全模式各有各有所長。無代理安全模式正處于發(fā)展之中,需要有一個(gè)不斷完善的過程,要經(jīng)過長時(shí)間的演進(jìn)。因此,根據(jù)具體的安全需求,目前在一些應(yīng)用場合可能還需要配合有代理模式使用,達(dá)到優(yōu)勢互補(bǔ)。
5 虛擬化安全防護(hù)模式之展望
從有代理模式發(fā)展到無代理模式,開拓了一種虛擬化環(huán)境安全模式的新思路,是一種技術(shù)進(jìn)步。沿著這一思路進(jìn)一步向集中模式發(fā)展,最終,將安全防護(hù)功能下移到虛擬化平臺(tái)層,整合進(jìn)虛擬化系統(tǒng)中,直接監(jiān)控進(jìn)出虛擬機(jī)的數(shù)據(jù),進(jìn)而考慮實(shí)現(xiàn)防火墻、防病毒、IDS、IPS、深度包檢測、綜合安全網(wǎng)關(guān)(UTM)、數(shù)據(jù)的認(rèn)證授權(quán)訪問、法規(guī)合規(guī)性檢查等一系列安全措施,相當(dāng)于將安全防護(hù)部署前移,而無需在虛擬化平臺(tái)之上再虛擬出一個(gè)安全虛擬服務(wù)器,這一解決方案更接近“無代理”的真正含義。從技術(shù)角度考慮,低層可以實(shí)現(xiàn)的功能,盡量不要放到高層去做,這樣必然代價(jià)最小,資源利用率最高。
這里我們要明確一個(gè)概念,無論哪種安全模式,總要運(yùn)行安全防護(hù)的進(jìn)程,只是運(yùn)行的位置和層次不同,因而實(shí)現(xiàn)的效能不同。當(dāng)前“有代理”和“無代理”說法和爭論更多還是從傳統(tǒng)安全技術(shù)角度來區(qū)分的。虛擬化環(huán)境下系統(tǒng)體系發(fā)生了變化,與之相適應(yīng)的安全系統(tǒng)也要有新的體系模式。在傳統(tǒng)安全領(lǐng)域中,低層實(shí)現(xiàn)效率高,高層實(shí)現(xiàn)粒度細(xì)。在虛擬化環(huán)境下,整合解決方案如何做到安全防護(hù)既高效又深度感知,既功能齊全又保持虛擬化平臺(tái)代碼精簡,這必然是今后一個(gè)重要研究領(lǐng)域。
虛擬化提供了一種集中模式,也為集中式安全管理創(chuàng)造了條件,而集中模式的管控是云環(huán)境下的趨勢。整合解決方案為當(dāng)前云計(jì)算數(shù)據(jù)中心仍廣泛采用的復(fù)雜且分散的傳統(tǒng)安全防護(hù)模式帶來了一次觀念和技術(shù)上突破的機(jī)會(huì),前景美好,商機(jī)無限,有實(shí)力的廠家應(yīng)看到這一點(diǎn),投入力量研發(fā)。只要思路正確,技術(shù)上的問題總可逐步解決實(shí)現(xiàn)。
信息安全伴隨著信息的存在而存在,是一個(gè)永恒的課題。只要外界存在安全威脅,傳統(tǒng)安全領(lǐng)域存在的問題在虛擬化環(huán)境中依舊存在,只是攻防的模式會(huì)有所不同。安全防護(hù)始終是一個(gè)動(dòng)態(tài)的過程,只有不斷適應(yīng)信息應(yīng)用的模式,才能具有生命力和發(fā)展前景。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:無代理安全防護(hù)模式
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112159387.html