《安全e周刊》总第1期

周刊卷首语：

　　如今服务器的整合、更快的硬件、使用上的简单、灵活的快照技术使得虚拟化更加引人注目。虚拟化已经成为企业架构中的重要组成部分，而服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统，能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者们不禁担心存在于虚拟环境中的安全隐患会在整个网络中蔓延开去。

　　虚拟化平台制造商以往对虚拟化安全都没有太多关注。随着虚拟化部署的日益深入如何保障虚拟IT基础架构的安全逐渐成为业界热议的话题。然而对于那些在数据中心管理虚拟机和网络的IT经理人来说，虚拟世界的安全保障是他们最为关注的重点。

　　一方面，虚拟化平台让创建和配置服务器和应用软件比物理机统治的时代要更加简单和快速。另一方面，物理领域中应用的安全工具和实践在虚拟机大行其道的今天已经不再适用。

　　数据中心网络周期是重要的安全界线。但数据中心内部由X86服务器虚拟化所带来的质量和数量上的变化，正对网络周期的物理特性产生着潜移默化的影响。

本期安全e周刊，让我们看看《虚拟化安全刻不容缓》。

　　安全在线每周发布的“DOSAFE服务器串串秀”和“DOSAFE周刊特写”，让每一位业界人士都能快速掌握全球领域的最新动态。

　　论坛：DOSAFE论坛精彩内容带给你
　　焦点：免费加盟DOIT商业网络，立即开启中小企业商务之旅！

DOSAFE串串秀（9月15日 - 9月19日）

周一（2008年9月15日）

　　黑客据国外媒体报道，本周五英国每日电讯报发布一个安全公告称，黑客们已经成功针对大型强子对撞实验发起了一次攻击，此消息一出引起了业界对这一当今全球最大科学实验的担忧。在此之前主持此实验的欧洲核子研究中心(CERN)已经多次收到威胁邮件和恐吓电话，称该实验有可能给地球带来重大灾难。

周二（2008年9月16日）

　　VMware 面对虚拟服务器和虚拟环境，扩充型安全方案的问题出在哪里呢？太多的人忘了这一点：VMware公司的虚拟基础架构3（VI3）只是整个虚拟环境（VE）。假定虚拟环境的核心是VMware ESX、VMware ESXi，还可能包括VMware服务器（VMware Server），但整个环境不是就只有这个核心。不妨考虑一下贵企业在保护虚拟化环境安全时所要考虑的许多组成部分。

周三（2008年9月17日）

　　中小企业与大型企业不同，中小型企业因为保护资产、数据和用户信息的资源均非常有限，因此面临更多的安全威胁。WatchGuard Technologies研究出了排在前十的中小企业安全威胁。WatchGuard Technologies公司的营销副总Eric Aarrestad说，"中小型企业的安全问题和大企业一样重要。但是令人不安的是很多中小型企业尚未开始关注抵御这些威胁的统一威胁管理设备。"

　　P2P技术 P2P技术使得用户信息和私有网络信息的安全性面临挑战。通常企业或者用户都需要构建自己的私有网络，公网用户不能直接与私网用户建立直接连接进行数据交换。入侵者总是要想方设法得到私有网络内部的信息，通常都是采用带毒邮件、网络插件携带木马等方式使私网内部的用户在不知情的状态下泄漏内部网络的信息。

周四（2008年9月18日）

　　封闭源码软件根据戴维·A·惠勒的著作"如何在Linux和Unix系统下进行安全编程"，对安全软件开发提出了三个方面的核心要求：首先，必须对代码进行真正的检查。其次，在开发和检验代码的人中，必须至少有一部分了解怎么撰写安全程序。再次，一旦问题被发现就必须被马上修正，并且将补丁迅速散发下去。惠勒的文章对于希望了解安全技术学习安全编程的人来说，是最好的网络资源之一。对于广大真正的安全软件设计者来说，这三项原则是必备的。

　　IPS入侵防御系统 IPS入侵防御系统一般都是放置在内网与外网的连接处，所以说他会监听所有内外网通讯数据包，由于网络攻击都是建立在数据通讯传输基础上的，因此通过分析数据包的协议层信息可以了解到该数据包的传输目的，通过比对特征码就可以定位该数据包是否属于攻击数据包或漏洞数据包了。当发现有问题数据包通过IPS后可以快速丢弃该数据包，从而减少了内网设备被攻击的可能，当然通过分析问题数据包的源IP地址与目的IP地址我们还可以清晰的知道到底是哪台计算机或网络设备出现了问题以及到底是谁在发动攻击。

　　企业防火墙如何在迅速发展的网络科技世界中不受各种各样病毒的侵略和防止黑客对企业网络的恶意攻击、泄露企业信息等阻碍企业发展的问题，是企业用户迫切需要解决的，这就对企业网络环境的安全性提出了高要求。对于企业网络环境的实际应用，更为常见的是硬件防火墙。硬件防火墙选购有如下因素：防火墙本身的安全性，数据处理性能，可管理性，日志能力和产品兼容性。

周五（2008年9月19日）

　　Secure Computing公司网络是企业通信基础结构的核心。今天的网络应用能够支持关键任务的执行和交易、客户与合作伙伴关系、会议、财务转发、对机密信息的分布式访问以及更多其他活动。保护网络就是保护企业本身。随着Web2.0的普及，它在给企业带来便利的同时，也带来了巨大的潜在威胁。从前仅限于消息层的攻击将可以通过Web和网络层渗透到企业中。现在，通信服务已嵌入系统和应用程序，这也是频繁导致混合威胁的因素之一。恶意威胁的进化和衍变速度加快，传统的防御方法如基于签名的反应式系统、黑名单/白名单技术、检查应用层的较旧封包式防火墙等已不足以与其对抗，企业安全岌岌可危。因此，企业对现代网关安全提出了新要求。

『安全e周刊』英文名为“eSAFE”，每周通过互联网发行。


订阅或退订《安全e周刊》，请点击此处。		出版日期, Sep.4 ,2008

[本周特写]

返回页面顶部

虚拟化安全刻不容缓

DoSAFE原创文/晓黎

　　首先，虚拟机的蔓延让数据中心面临的压力日益严重。为物理系统上运行的应用软件创建安全方针并非易事。如今配置一台新服务器所需的时间从周缩短为小时，网络安全人员必须马上部署安全保障，确保系统数据不会遭受木马入侵和泄露。

　　其次，数据中心面临的安全压力还来自于数据中心内部系统的快速迁移。虚拟机在物理机之间进行迁移时，与虚拟机相关的安全协议和资源保护如何迁移是个问题。

　　增加数据中心物理服务器的数量是一种单调乏味的方式。除此之外，硬件系统必须在物理上与网络相连接，这就意味着那些没有访问过网络设备配置而缺乏相关知识的系统管理员就必须向其他的IT人员求助。

　　这样的话，我们就必须在这个流程中安排两到三个职能部门来关注新系统的运行。如果实施了虚拟化，我们可能只需要一名IT技术人员在几分钟内在虚拟交换机上就能完成新系统的配备。面对IT基础架构复杂而脆弱的现状，这成为亟待解决的问题。

　　如何改变IT基础架构的现状，如何提高虚拟世界的安全性是IT管理者必须关心和考虑的问题。问题的答案莫衷一是，目前还没有哪款产品或者战略能成为让问题迎刃而解的最佳方案。

　　不过一些逐步成熟的实践方法正在演变成为引导未来发展方向的趋势。
传统的安全工具生产厂商开始为虚拟世界打造适合他们的产品。微软公司在经历了人们对Windows操作系统安全漏洞长达十年的质疑和诟病后，又面临虚拟化产品安全保障的难题。除此之外，VMware公司作为虚拟化领域的龙头先锋，也在应用编程接口的基础上推进VMsafe来保证他们虚拟化平台的安全运行。

　　防火墙，入侵防御系统和连接物理系统的虚拟局域网都需要开发和维护。然而这些系统的功能必须迁移到连接虚拟机的虚拟网络的内部。通常虚拟网络是使用虚拟交换机创建的，这些虚拟交换机和虚拟机一起驻留在物理系统上运行的管理程序顶部。

　　如今为了安全起见，我们需要对虚拟机间的流量进行监控。一旦开始运行，虚拟机流量就会返回虚拟网络。当我们想要提高虚拟机的运行能力时，就有可能导致网络运行的瓶颈。

　　采用综合解决方案也能将虚拟机和他们安装的物理系统绑定，如果虚拟机迁移到不同的物理主机时，除非设计精巧的物理系统能支持这种迁移。使用这种方法会面临很多问题，我们甚至无法说清这么做的原因。

　　第一个问题是，采用综合解决方案要取决于目前的系统架构，服务器必须始终在线直到它们停机或退役。必要的情况下安全产品要开发静态的方案来理清系统的物理和逻辑连接。

　　在物理工具方面，还需要考虑与网络脆弱的静态模式相关的网络协议。坦率的说，我们可以看到数据中心变化的速度之快已经让IT管理者应接不暇，IT管理者应用传统IT安全工具的能力已经无法跟上虚拟世界的发展步伐。

　　虚拟机的蔓延让安全协议必须要适应这个现实。随着数据中心虚拟机的数量不断增加，很可能IT管理者需要增加安全人员的数量和加强专业技能的培训，来专门致力于安全协议的创建和维护。要想访问所需的资源就需要了解系统定义的安全协议。正如我们所描述的，虚拟机技术的前提和目前的实行都为安全协议的发展制造了难题。

　　设想一下任何软件要装入系统都会增加系统的风险性。从理论上我同意这个观点，管理程序诞生至今所经历的时间还相对短暂，但管理程序已经证明它比任何其他应用软件都安全的多，尤其是Windows操作系统。

　　管理程序平台上独立的虚拟机环境是实现物理机向虚拟服务器整合高比例的关键。作为一款副产品管理程序的运行比在同样物理服务器上运行的其他应用软件都要安全很多。将有不同安全需求的虚拟机放在同样的物理主机上运行，需要最佳的实践方针作为指导。很多企业可能只想保留处理常规数据的虚拟机，如信用卡信息等类似信息放在物理系统上。可能更好的办法是将系统功能放在一边，让安全价值相对较低的系统集合在一起，针对物理系统上高价值的虚拟机重点关注高可用性的设计。给这些高价值的系统分配安全资源，比如针对这些系统开发安全协议等。

　　在此我们也介绍一下虚拟化平台厂商安全产品的开发。今年二月，VMware推出VMsafe，意在改进虚拟基础架构的安全运行，帮助企业减少虚拟资源的浪费。

　　VMsafe是VMware公司研发的API工具，能让第三方厂商监控和控制虚拟机的网络流量，还能监控服务器上每个虚拟机的数据。这些数据可以供安全厂商使用来进行安全分析，而无需进入网络或者虚拟机。VMsafe的设计让用户使用较少的主机资源，简化和优化安全解决方案，为主机和网络安全提供全面保障。VMsafe技术目前处于蓄势待发的初级阶段。

　　赛门铁克、McAfee和其他第三方安全工具制造商也在进行安全产品的早期开发。IT管理者应该密切关注这一领域的最新发展。通过对微软Hyper-V管理程序最近的试用，我们发现安全性已经从原来的附加功能成为公司着重强调的核心特性，微软在每个月的第二个星期二会发布安全产品补丁。在Hyper-V产品线和最新发布的Application Virtualization产品中，微软在产品的核心部分设置了安全运行特性。

　安全在线——国内顶尖的企业信息安全与网络维护专业网站！

[趋势与分析]

返回页面顶部

黑客入侵大型强子对撞实验计算机系统 (2008年9月15日)

面对虚拟化环境修修补补不是安全之道 (2008年9月16日)

十种中小企业面临的主要安全威胁 (2008年9月17日)

观点：P2P视频应用引爆安全危机 (2008年9月17日)

封闭源码软件在安全上面临的十项挑战 (2008年9月18日)

安全设备使用指南之保护内网安全 (2008年9月18日)

部署安全企业网络硬件防火墙导购 (2008年9月18日)

网络安全主动防御之路是否行得通？(2008年9月19日)

三方法弥补企业网络安全管理系统漏洞 (2008年9月19日)

GFI EndPointSecurity：USB管理的利器 (2008年9月19日)

预算增加美国企业越来越重视数据安全保护 (2008年9月19日)

[安全论坛 - 全球IT人中文社区]

返回页面顶部

讨论全球最热门的服务器技术、市场与产品话题。

马上加入全球最集中的信息安全中文社区，现在就登录安全在线 - DoSAFE论坛！

要订阅或退订《安全e周刊》，又或者要更换订阅eSAFE的电子信箱，请点此提交您的请求信息。
您若希望了解关于《安全e周刊》eSAFE的更多消息，请访问安全在线(www.safe.doit.com.cn)网站。
《安全e周刊》欢迎任何形式的合作，请致信 mailto:yajing.zhang@doit.com.cn 或致电 +86(010)58222880
Copyrights © 2007 安全在线(DoSAFE.com), All Rights reserved.(北京楚科信息技术有限公司)

DoSAFE原创 文/晓黎

DoSAFE原创文/晓黎