編輯部雖然從邏輯上來看,網路上的各個伺服器看似都還是獨立的,但是事實卻是依附在該實體伺服器上,而且會帶來更多的安全隱憂,如何有效解決這些安全爭議,資訊部門人員需要更先進的安全概念及技術,才能夠有效管理虛擬環境,避免安全漏洞發生。
虛擬安全 4 方向:系統狀態、網路、流程及儲存
在建構虛擬環境的過程中,隨著重要的應用服務逐漸轉向虛擬化,漸漸地出現了許多安全性上的問題。
最簡單的一項問題,就是如何監控並管理虛擬伺服器的更新與漏洞。當虛擬伺服器在開機狀態時,企業當然可以運用相關管理系統與套件,隨時保持伺服器的狀態,但卻難以管理未啟動的伺服器。
除了更新問題之外,另外還有病毒偵測與過濾方面的狀態,而這些都需要導入新的資安科技才有辦法解決。因此專注開發虛擬環境的廠商,都開始研究探討與虛擬環境相關的安全議題,不但希望能夠打造高效率的操作模式,也希望能夠建構安全便利的虛擬環境。
由於虛擬化環境的便利與優勢,因此許多企業都逐漸轉向以虛擬化建構新一代的資訊服務體系,但駭客也開始瞄準虛擬環境成為新的目標,其攻擊標的會趨向虛擬化底層,雖然目前還尚未發生類似事件,但是這項資安威脅趨勢是可以預期的,因此 VMware 就在 4.0 版本中,推出 VMsafe 技術。
此技術就是針對 VMware 環境中可能發生的資安威脅,先行建構出防禦體系,避免漏洞發生。在 VMsafe 中將安全議題分為 4 大方面:虛擬伺服器的系統狀態、網路架構、流程執行的監控與管理,以及虛擬環境的儲存安全性。而 Check Point 也在先前的 VMware 年會中,發表能防禦虛擬環境核心端的相關技術,協助企業確保虛擬環境的安全。
而一項因應虛擬環境而生的新概念-Office in the Box:這項概念是指未來的辦公室資訊架構,將可以用一臺機器就全部完成。透過虛擬化的方式,可以將伺服器、路由器與交換器等設備,建構在 VMware 環境中,企業無論是搬遷或是建置新機房,都不再需要花費大筆經費建置龐大的實體環境,僅需要導入事先以虛擬環境架構好的設備,就可以快速建置辦公所需的資訊系統。藉由這種方式,無論是添增、備份或是移動伺服器或相關資料,都比往常快速許多。
而虛擬環境的部分安全,Check Point VPN-1 Virtual Edition 可以在核心層防禦所有的資安威脅,避免位處於應用層時可能遺漏的各種入侵,同時也能提供更好的管理與過濾機制,確保虛擬環境的安全性。
(作/Check Point 臺灣區技術顧問陳建宏)
…未完(更多內容請參閱網路資訊雜誌 2009 年 8 月號 213 期)