1 云計算和虛擬化的安全問題
云計算的前景已毋庸置疑。但當前用戶在考慮應用云計算服務時還存有各種疑慮,其中安全問題占據所有擔心要素的首位。國外許多云計算數據中心都遭受過黑客和病毒的攻擊,出現過斷網現象。甚至云計算的倡導廠商谷歌、亞馬遜、微軟的在線服務也發生過宕機事件,導致網站長時間不能提供服務,影響波及大量用戶。這些安全事件引發了云計算信任危機,也反映出云計算本身確實存在缺陷,尚不完善。今后一段時間內,制約云計算業務普及開展的重要挑戰是安全問題。
云安全技術多集中在虛擬化安全方面。虛擬化是云計算的支撐技術,它實現了各種資源的邏輯抽象和統一表示,用以支持云計算中心根據用戶業務需求的變化,快速、靈活、彈性地調用,響應用戶的應用請求并提供服務,提高資源的利用率。然而,虛擬化的結果,卻使得許多傳統的安全防護手段面臨著新的挑戰甚至失效。從技術層面上講,云計算與傳統IT環境最大的區別在于其虛擬化的環境,也正是這一區別導致其安全問題有別于傳統模式。虛擬化環境下計算、存儲、網絡結構、服務提供模式等的改變,帶來了應用進程間的相互影響更加難以監測和跟蹤,數據的隔離與訪問控制管理更加復雜,傳統的分區域防護界限模糊,對使用者身份、權限和行為的鑒別、控制與審計變得更為重要等一系列問題,對安全提出了更高的要求。
虛擬化環境下的安全防護問題成為IT界一個新的關注焦點。在實現功能的同時,追求效能最大化始終是任何一種技術所推崇的。如何在虛擬化環境下既能達到安全防護目的,又能節約IT資源,降低管理成本,需要有全新的思路。“無代理(Agentless)安全模式”將是最有希望的安全解決方案之一。
無代理安全模式是相對于傳統有代理安全模式而提出的,所以要理解無代理安全模式的優勢,需要將兩種模式進行一下對比,分析各自的工作特點及利弊之處。
2 虛擬化環境有代理安全模式的弊端
虛擬化的早期階段,安全解決方案尚無適應虛擬化環境的防護模式,人們只能沿用傳統的安全防護策略,即在每臺虛擬機上部署安全防護產品套件,即所謂的“安全代理”,這種安全防護模式稱為“有代理模式(Agent-based)”。但隨著云計算和虛擬化技術大規模的應用,此種模式已顯現出多種弊端,主要體現在幾方面。
1)傳統安全軟件都是基于物理機開發的,而非專門為虛擬化環境定制設計,尤其是沒有考慮針對虛擬化環境下的資源共享進行優化。因而每一臺虛擬機都安裝安全軟件的部署模式,對物理宿主機的存儲空間、內存資源占用較大。當上百臺虛擬機在同一時間開啟病毒庫自動升級或者自動進行云查殺,同時需要調用網絡資源,數據中心的網絡資源將面臨極大的壓力,甚至超負荷導致癱瘓,耗盡網絡帶寬,導致正常業務中斷,這就是所謂的“防病毒風暴(AV Storms)”。這顯然違背了云計算使用虛擬化技術節約IT資源的初衷,分散部署安全代理軟件的模式降低了虛擬化本應帶來的好處,導致了對服務器整合工作的不必要消耗。
2)云計算數據中心需要部署多種應用系統運行在不同的虛擬機中,各個虛擬機及應用系統之間的安全防護和訪問控制帶來了很多新的安全威脅與挑戰。由于傳統硬件的安全設備只能部署于物理邊界,如入侵檢測設備IDS,一般利用交換機的端口鏡像功能,監控外部網絡對DMZ區,以及DMZ區內部不同物理服務器之間的攻擊行為。但在虛擬化環境中,位于同一臺物理宿主機上的不同虛擬機之間的通信可能不經過網絡交換機,利用傳統的網絡安全設備觀察虛擬機間的通信方法失效,因而無法檢測或抑制源于同一物理主機的虛擬機的攻擊。如果攻擊者攻克了一臺虛擬機,獲得了對其控制權,就可以對宿主機上的其他虛擬機發起攻擊,進而獲得整個服務器群的控制權,造成業務系統崩潰。如何增強虛擬環境內部虛擬機流量的可視性和可控性,提供虛擬環境內部的網絡安全防護,傳統的安全產品無能為力。
3)各虛擬機分散地防護(即有代理模式),不能保證各自均更新為最新版本,補丁完整得到了加固。因為虛擬化的初衷之一是綠色環保、低碳節能,當負載低時可以自動休眠某些虛擬機,當負載高時重新激活這些虛擬機。但在虛擬機休眠期間,病毒代碼庫和安全補丁是無法更新的,可能出現大量安全漏洞,一旦激活、聯機后將可能立即受到攻擊。在快照還原、休眠、激活過程中,同步且一致性地為這些安全策略已過期的虛擬機更新為最新安全策略是不可能的。攻擊者可以利用這個時期攻擊虛擬機,只要某一臺虛擬機存在漏洞,出現安全防護的“短板”,就可能對整個虛擬化環境造成安全威脅,這也符合“木桶原理”。
4)在虛擬化動態環境中,新的虛擬機自動進行設置、重新配置,甚至自動遷移。這使得管理員在追蹤、維護和實施安全策略時變得異常困難,分散管理模式的成本急劇增大,已難以適應。
綜上所述,全新的虛擬化環境若仍然搭配傳統的類似垂直式部署的安全防范策略,無疑影響了虛擬平臺的使用效率,也勢必降低整體安全性。
3 虛擬化環境無代理安全模式的優勢
無代理安全模式基于宿主機整體考慮,以一個真實物理機為一個管理單位,用戶無需在每個虛擬機中部署安裝安全防護代理程序,將安全防護進程移出各個單獨的虛擬機,集中部署在一臺虛擬安全服務器中運行,分時掃描各應用服務器虛擬機,管理虛擬化環境下其他所有虛擬機的安全防護。因為安全服務器虛擬機直接部署在虛擬化平臺上,對下層資源配置和利用情況具有完全的感知與掌控,充分利用虛擬化環境下對資源請求的時間差,統一調度,統計復用資源。這樣,就避免了相同的安全防護進程在各虛擬機中并行地運行,并發地耗用底層資源,而改變為由一個虛擬安全服務器串行地運行,均衡了負載和資源的利用。
安全虛擬服務器可采用經過加固的專用系統,安全級別高,從而顯著提升了無代理模式下的整體安全性。用戶只需安裝一次安全防護套件,一次性部署,然后對這臺安全虛擬服務器隨時在線升級和維護,對虛擬環境的性能不會造成顯著影響。由于避免了各虛擬機重復性更新,也就避免了“防病毒風暴”等現象。只要保護好這臺虛擬安全服務器,就能夠讓其他所有虛擬機得到最新的安全防護。從這一點看,在虛擬化環境中,集中式的無代理安全防護模式的安全性要高于分散式有代理安全防護模式。
因為在各虛擬機上取消了安全防護代理程序,因此可以幫助底層宿主機降低負擔。近年來,惡意程序劇增,病毒庫、補丁庫體積越來越大,分散部署的有代理安全模式要占用大量資源。而采用無代理安全模式,當虛擬機數量較大時,節省的資源數量將非常可觀,可以提高虛擬機密度,獲得最大化效能。有測試報告表明,使用無代理安全防護模式,虛擬機器的整合率比使用分散的有代理安全防護模式提高數倍甚至一個數量級。降低了以犧牲性能獲得虛擬化安全的制約。
無代理安全解決方案具有實時性,對于處于休眠狀態的虛擬機,一旦激活便可以立即獲得最新的防護,甚至對新克隆或安裝的虛擬機裸機也同樣,解決了虛擬機啟動中的防護間隙(Instant-On Gap)問題。并且,安全虛擬服務器可以及時攔截并檢查虛擬機內部通信,防止虛擬機間的攻擊。
從易管理的角度來看,采用無代理安全防護模式,云計算數據中心在擴展、遷移虛擬機時,無需再次部署、設置安全解決方案,更新代理程序,虛擬機的遷移、資源的利用更具彈性。由于提供了統一管理機制,變分散管理為集中管理,大大降低了管理工作的復雜性和成本,省時、省力、省資源,因此總體上降低了企業的IT成本。在運維成本已占IT行業運營總成本極大比例的今天,無疑具有重要的現實意義,容易被企業所接受。因此無代理模式不僅可用于安全防護,進而可推廣成為全面的統一管理平臺。
無代理安全模式有效避免了有代理模式下產生的諸多負面效應,順應了從分散走向集中的趨勢,符合云計算、虛擬化、透明化、資源整合、集中統一管理的理念和技術潮流,未來必將成為大勢所趨。
4 無代理安全模式目前存在的問題
無代理安全模式作為一項新技術(或許是一種過渡技術),目前還存在一些問題。
1)每臺虛擬服務器運行的應用對安全防護策略的要求不盡一致,因而集中設置的防護策略區分粒度不夠精細,不易實現差異化策略設定。
2)如果安全虛擬服務器被攻破,則全體應用服務器虛擬機的安全防護隨之瓦解,出現單點失效問題。
3)無代理安全模式目前主要用于防病毒,因為應用服務器虛擬機中無任何代理,其他安全措施,如:基于主機的入侵檢測(HIDS)、IPS、防火墻、審計、防黑、反垃圾郵件等方面必然較弱,安全防護的深度和廣度還存在局限性。有代理模式分層掃描可做的較為細致,防護能力強。在無代理模式下,達到同樣目的時效性可能會差一些。
4)同一虛擬平臺上運行不同操作系統的虛擬機,由于操作系統結構不同,可能出現漏殺現象。
5)不支持跨虛擬化平臺的使用。不同虛擬化平臺提供給虛擬安全服務器的接口不同,受到不同虛擬化平臺遷移的限制。
6)被保護虛擬機必須留有開放接口,以使虛擬安全服務器掃描,這相當于在虛擬服務器上開了一些后門,會帶來一定安全風險。
由此可見,目前有代理和無代理安全模式各有各有所長。無代理安全模式正處于發展之中,需要有一個不斷完善的過程,要經過長時間的演進。因此,根據具體的安全需求,目前在一些應用場合可能還需要配合有代理模式使用,達到優勢互補。
5 虛擬化安全防護模式之展望
從有代理模式發展到無代理模式,開拓了一種虛擬化環境安全模式的新思路,是一種技術進步。沿著這一思路進一步向集中模式發展,最終,將安全防護功能下移到虛擬化平臺層,整合進虛擬化系統中,直接監控進出虛擬機的數據,進而考慮實現防火墻、防病毒、IDS、IPS、深度包檢測、綜合安全網關(UTM)、數據的認證授權訪問、法規合規性檢查等一系列安全措施,相當于將安全防護部署前移,而無需在虛擬化平臺之上再虛擬出一個安全虛擬服務器,這一解決方案更接近“無代理”的真正含義。從技術角度考慮,低層可以實現的功能,盡量不要放到高層去做,這樣必然代價最小,資源利用率最高。
這里我們要明確一個概念,無論哪種安全模式,總要運行安全防護的進程,只是運行的位置和層次不同,因而實現的效能不同。當前“有代理”和“無代理”說法和爭論更多還是從傳統安全技術角度來區分的。虛擬化環境下系統體系發生了變化,與之相適應的安全系統也要有新的體系模式。在傳統安全領域中,低層實現效率高,高層實現粒度細。在虛擬化環境下,整合解決方案如何做到安全防護既高效又深度感知,既功能齊全又保持虛擬化平臺代碼精簡,這必然是今后一個重要研究領域。
虛擬化提供了一種集中模式,也為集中式安全管理創造了條件,而集中模式的管控是云環境下的趨勢。整合解決方案為當前云計算數據中心仍廣泛采用的復雜且分散的傳統安全防護模式帶來了一次觀念和技術上突破的機會,前景美好,商機無限,有實力的廠家應看到這一點,投入力量研發。只要思路正確,技術上的問題總可逐步解決實現。
信息安全伴隨著信息的存在而存在,是一個永恒的課題。只要外界存在安全威脅,傳統安全領域存在的問題在虛擬化環境中依舊存在,只是攻防的模式會有所不同。安全防護始終是一個動態的過程,只有不斷適應信息應用的模式,才能具有生命力和發展前景。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:無代理安全防護模式
相關文章
