天平正在倾斜——很快,大多数网络服务器将被虚拟化。一方面,这意味着更便宜的基础设施和维护以及企业网络的敏捷性。另一方面,这也意味着传统的基于硬件的安全解决方案(例如,传统的防火墙、路由器、交换机等)正在变得过时。
当您的组织采用虚拟化时,重要的是它还采用虚拟化安全和云安全,以帮助保护您的网络、敏感数据和用户在虚拟化环境中的安全。继续阅读以了解有关虚拟化安全的所有信息,包括其优势、虚拟化所涉及的风险以及安全虚拟化的最佳实践。
什么是虚拟化安全?
虚拟化安全(也称为安全虚拟化)是一种基于软件的网络安全解决方案,旨在保护虚拟化 IT 环境。虚拟化——或部署基于软件的安全性,如下一代防火墙或防病毒保护来代替硬件——正迅速成为组织构建其网络基础设施的主要方式。
虚拟化的类型包括:
- 服务器虚拟化。
- 桌面虚拟化。
- 存储虚拟化。
- 网络虚拟化。
- 应用程序虚拟化。
部署严格的基于硬件的网络安全解决方案无法在虚拟化环境中提供全面的保护。相反,您必须实施灵活、动态的虚拟安全解决方案来满足您的新基础架构需求。
虚拟化如何帮助降低安全风险?
虚拟化和安全性齐头并进,因为虚拟化具有固有的安全优势。例如,虚拟化允许将数据存储在一个集中位置,而不是存储在未经批准或不安全的最终用户设备上。
虚拟化安全的其他积极影响包括:
- 精细访问控制:与传统的基于硬件的基础架构相比,IT 团队和管理员对网络访问的控制要多得多。团队可以使用微分段技术在工作负载级别授予用户对特定应用程序或资源的访问权限。
- 应用程序隔离:虚拟化的一个关键安全优势是能够在网络上将应用程序彼此隔离。保持应用程序隔离可以防止数据在它们之间共享,或者免受可能感染系统其他部分的恶意软件或病毒的侵害。隔离通常通过容器化和沙盒来完成。
- 增强对桌面和应用程序更新的控制:操作系统 (OS) 和应用程序不断打安全补丁,但您的员工可能无法跟上其设备上的这些更新。通过虚拟化桌面,IT 将拥有完全控制权以确保操作系统和应用程序得到更新。
- 虚拟机 (VM) 隔离:在单个服务器上运行多个虚拟机可实现高级别隔离。如果一台服务器的安全性受到威胁,这种分离可以为其他虚拟服务器提供保护。
- 网络隔离和分段:网络上的独立工作负载或应用程序可以在相互隔离的分段虚拟网络之间进行划分和共享。这确保了信息和访问不会在整个网络中共享。
- 管理程序维护:创建和运行 VM 的管理程序通常需要比基于硬件的解决方案更少的资源,从而使它们的攻击面更小。另外,管理程序通常会自动更新。
虚拟化会带来任何安全风险吗?
虽然虚拟化有几个安全优势,但您也应该注意一些固有的虚拟化安全问题。这些风险包括:
- 增加的复杂性:虚拟化环境可能很复杂,尤其是当多个工作负载和应用程序跨不同服务器迁移时。这使得 IT 团队更难遵循虚拟化安全最佳实践并在整个网络中维护一致的策略或配置。
- 虚拟局域网 (VLAN) 漏洞:使用 VLAN 时,网络流量从软管路由到防火墙,这可能导致网络延迟。此外,无法检查 VLAN 上多个 VM 之间的通信,从而使其不安全。
- VM 蔓延:当系统中存在未使用和未考虑的 VM 时,就会发生 VM 蔓延。由于 VM 非常容易部署,许多 IT 团队启动了太多 VM——通常部署一个用于测试目的,并且在不再需要后不删除它。未使用的 VM 通常会被忽略并且不会收到安全更新,从而使它们未打补丁并且容易受到攻击。
- 分布式拒绝服务 (DDoS) 攻击:无论其隔离如何,在同一台服务器上运行的虚拟机共享该服务器的资源(例如,CPU、RAM 和内存)。如果DDoS 攻击使 VM 充满恶意流量以损害其性能,服务器上的其他 VM 将感受到影响。
- Hypervisor 攻击:虽然 Hypervisor 的攻击面相对较小,但它们仍然可能受到损害。如果管理程序被成功攻击,则在同一台服务器上运行的所有 VM 都处于危险之中。这为攻击者提供了一个集中的目标访问点。此外,管理程序管理员会监督他们的安全凭证,这意味着恶意内部人员可以与任何人共享这些凭证。
您组织的云基础设施还可能引入固有的网络安全风险——加剧与虚拟化相关的风险。
制定虚拟化安全策略的 10 个技巧
安全虚拟化将有助于确保您组织的系统安全,但仅靠虚拟化无法完成这项工作。设置清晰且可操作的虚拟化安全策略非常重要。以下是您应该采用的一些虚拟化安全最佳实践:
- 确保您的主机正在运行最新的固件,并且所有软件都定期更新。
- 确保所有活动网络元素的固件都是最新的。
- 为所有操作系统设置自动更新,并安排在下班时间进行安装和重新启动。
- 安装虚拟化防病毒和反恶意软件并确保其保持更新。
- 明确划分管理员权限,轻松跟踪谁在整个系统中更改了什么,并遵循每个管理员的最小权限 (PoLP) 原则。
- 确保所有网络流量都已加密。
- 制定明确的用户政策并对员工进行密码安全最佳实践方面的培训。
- 确保所有虚拟机都有明确的用途。删除所有未使用的虚拟机。
- 为您的 VM 和物理服务器安排定期备份,以及完整的系统备份。
- 查看和部署VMware 最佳安全实践。