IBM Security Virtual Server Protection Intrusion Prevention System Unified Threat Management Full Virtualization Virtual Machine Virtualization HP TippingPo Hypervisor Fortinet vSwitch 伺服器虛擬化 入侵防護系統 虛擬主機 VLAN 趨勢科技 防火牆 IPS UTM IBM HP 資安

兼顧資安與效能需求 考量虛擬系統防護架構

2013-07-05
自從企業開始應用Hypervisor技術,以虛擬化架構將原本在實體伺服器上運行的應用系統,逐一轉移到虛擬主機(Virtual Machine)上提供服務後,虛擬化環境該如何防範資料外洩、駭客攻擊等資安事件的威脅,始終是備受關注的議題。主要是因為虛擬主機架構於Hypervisor上,實現提昇實體資源利用率的同時,卻也讓虛擬主機本身以及服務系統的運作狀態,難以完全沿用以往實體伺服器架構的安全控管機制來掌握。
為了因應這股虛擬化安全需求,眾家資安設備廠商,包括防火牆、IPS(Intrusion Prevention System)、UTM(Unified Threat Management)等,可說是除了設備產品以外,皆有推出Virtual Appliance的版本,可供企業架構在虛擬環境中實施防禦。實作方式大多透過API方式與Hypervisor層溝通,或是更改網路架構,例如直接以VLAN方式來隔開虛擬主機,當虛擬主機之間要進行溝通時,先經由vSwitch將流量導出實體伺服器,到資安設備解析偵測後再繞回目的地端,達到實體隔離與防護。

監測虛擬主機間流量

以VMware平台為例,IBM Security Virtual Server Protection與HP TippingPoint Virtual Controller(vController)等資安方案,皆是仰賴VMware釋出的VMsafe來執行防火牆、IPS等安全控管。HP資訊安全事業部北亞區資深技術協理蕭松瀛說明,若虛擬主機之間的傳輸流量沒有被監看,萬一發生跨虛擬主機之間的攻擊(Inter-VM)事件,除非每個虛擬主機上皆具備端點防禦,否則根本無法得知。

「而利用VMsafe這個API,不須加裝代理程式,即可從Hypervisor層監看網路行為。且因為TippingPoint vController架構屬於In-line模式,所以當網路流量發生時會先被導出實體主機,經TippingPoint設備檢測完成後再回傳回去,網路傳輸亦不致因此發生延遲。」蕭松瀛解釋。不論虛擬主機發生新增、IP異動、搬移等狀況,皆不需要再有額外設定配置,在虛擬伺服器內的流量都可以被檢測。

同樣具有Virtual Appliance版本的Fortinet,其FortiGate-VM則非透過VMsafe來實作,而是以一台虛擬主機方式運行。「不諱言,效能表現的確沒有直接整合Hypervisor來得好,」但Fortinet台灣區技術總監劉乙認為,畢竟資安相關機制少不了封包解析與比對等動作,勢必需要大量運算資源;其實不論何種架構,如果還是在虛擬伺服器中,執行效能都會受到牽制,尤其在x86平台上執行比對運算,效能往往不理想。想要如同實體設備般的效能表現,虛擬主機還得配備非常強大的CPU與記憶體,成本不低。」劉乙說。

以實體設備防護虛擬

劉乙觀察,會選擇架構軟體式的虛擬化資安產品的客戶,多數是因為虛擬主機皆位於相同網段,彼此間的連線溝通行為可能在單一實體伺服器中就已完成,IT管理者根本無從監控,才會選擇把資安防護機制架設在虛擬伺服器上。

其實多數企業端實際應用環境並沒有想像中複雜,劉乙指出,一般企業內部常見的應用系統,像是Web、資料庫、ERP等系統,即使是全數轉移到虛擬伺服器平台,多數企業不到十個虛擬主機就已足夠,如此狀況下其實採用外部實體資安設備,以VLAN方式架構,會比軟體式更單純便於管理。

他進一步談到,早期談虛擬化建置時會陷入迷思,似乎所有的控管機制也要運作在虛擬環境。可是後來發現,只要一個點出現問題,就會拖垮其他應用,所以後來反而傾向透通式介接到外部實體設備,利用效能成本較低的專屬設備,來做資安防禦。

對此IBM軟體事業處業務專案經理金天威亦認為,儘管IBM有提供可整合Hypervisor的資安方案,但若遇到客戶對虛擬系統效能較敏感,或資安機制的需求較多,仍舊會建議在資安建置方面還是採用實體架構比較穩定,才可確保效能運作順暢。

Host-Based仍有市場

其實無論何種新興應用技術被提出,就算可藉此大幅提昇營運效率,若缺乏相對應的安全控管機制,企業仍舊不會冒然採用。趨勢科技亞太區資深產品行銷經理吳韶卿即表示,因此自五年前虛擬化技術開始出現在市場的初期,趨勢科技就跟VMware合作提供虛擬系統中的安全控管機制,推出代理程式(Agent)與無代理程式(Agentless)的Deep Security,其中無代理程式即是以Virtual Appliance型態提供,同樣運用VMsafe來提供防毒、防火牆、IPS三種防護機制。


▲因應伺服器虛擬化後的改變,第三方資安廠商大多具備Virtual Appliance版本,利用虛擬化平台釋出的API(例如:VMsafe),從底層來執行防護。(資料來源:www.vmware.com)

「雖然許多企業用戶不喜歡Host-based的資安防禦,因為會讓原本就相當忙碌的伺服器增添負擔,但有時礙於法規遵循,至少必須要具備防毒機制,而防毒軟體的代理程式除了病毒掃描,同時還具備防火牆與IPS機制,亦可在作業系統或應用程式的更新程式未被及時安裝時,利用Virtual Patch避免遭受零時差攻擊,因此採用代理程式方案的客戶其實也不少。」

應用層控管仍是重點

即使在Hypervisor已經建置嚴密的資安管控,仍舊不可忽視來自應用層的資安威脅。劉乙即指出,現代化駭客攻擊行為猖獗,網頁應用程式可說是重要的攻擊管道之一,而且僅從Hypervisor層亦無法得知應用程式執行行為,像是SQL- Injection、PHP Inject、Cross Site Script等常見的攻擊,仍舊必須有能力抵擋。因此WAF(Web Application Firewall)解決方案在虛擬化應用環境同樣重要。

伺服器虛擬化後的確顛覆傳統IT基礎架構,但是就本質來看,所需具備的元件仍然是伺服器、儲存、網路、應用程式,差異只在於框架(Framework)的建置。蕭松瀛舉例,在虛擬架構中會談Provisioning,指的多半都是網頁應用程式,因為前端提供服務的方式並沒有改變,只是後端與底層的技術框架因應伺服器虛擬化而有不同的配置。

如此的變化下,各個企業會依據營運業務調整最具成本效益的IT架構,所需採用的解決方案組合也就難以一體適用。例如為了確保虛擬環境的安全性,而發展出Virtual Appliance的作法,實際應用後又發現會影響伺服器執行效能,於是又回歸到實體資安設備來提供防護機制。其實不論虛擬化後IT基礎架構如何改變,既有會出現資安問題的環節仍然存在,防護策略亦需因應架構的調整,才能降低虛擬化環境的資安風險。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!