虛擬化安全導入－2 虛擬網路安全市場待開發 組織架構先調整

在過去的實體資訊架構中，從資安政策的遵循、防火牆、入侵防禦偵測到網路行為異常的偵測等，大多數的企業自然不乏資訊安全解方案的協助，只是當轉換到虛擬化環境時，各種傳統的資安設備自然也要有所因應，例如說當所有系統都被整到同一個虛擬機器中時，虛擬機之間的流量該如何控管？而當系統被移轉、關閉、開啟時，資安政策是否也能夠隨之轉移？

雲端運算發酵 虛擬化進一步的需求

台灣區的自動化和虛擬化軟體的相關業者，在2011年上半年皆較去年同期有明顯成長，這個研究結果，出現在IDC 2011年台灣區最新軟體追蹤半年報 (IDC Asia/Pacific Semiannual Software Tracker, 1H2011)當中，顯示出資訊系統基礎架構的改變，虛擬化技術已逐漸蔓延到網路、安全等其他層面，與傳統基礎架構的界線越來越接近。IDC台灣市場分析師吳乃沛也認為，雲端運算潮流已開始發酵，而自動化便是虛擬化後邁向雲端的必經過程，因此大型企業和電信業在經過機房的虛擬化佈署後，也開始出現對自動化管理的高度需求。

隨著虛擬化的逐步佈建，企業不僅會面臨到實體與虛擬轉化的挑戰，安全政策也需要隨之轉移。Juniper先進技術資深經理林佶駿就說，現在已經不似前幾年，只是在測試環境中做虛擬化，如今已有不少企業將正式上線的系統搬到虛擬環境中，像是有些學校的校務行政系統等也都已經導入虛擬化，或遲或早，將虛擬化運用在生產線上都是必經的過程。

虛擬化在臺灣已經成為伺服器佈署時的考量，但是虛擬化的安全的確是新領域，各個資安廠商都在摩拳擦掌，希望引領新的浪潮。VMware大中華區技術總監張振倫認為，虛擬化安全是新型領域，是虛擬化第二階段的重要考量。專家們也推估整個虛擬化的進程大概會是先從伺服器、網路、防火牆、IPS再走到WAF。儘管今年看起來各家企業相關預算尚未編列，但已可發現近來不少企業在探詢關虛擬化防火牆產品。

從控管到法規遵循與稽核

從結果來看，我們看到企業對該項產品的探詢，但實際上的導入卻可能遭遇到哪些挑戰呢？在進入到資安議題之前，企業首先會面臨到的是管理問題。過去資安人於72期《虛擬化多又快 管理怎麼辦》之前就曾談過－負責導入虛擬化的通常是系統人員，對虛擬化資安產品不甚了解。虛擬化環境的導入，通常會由伺服器先開始，再慢慢拓展到網路，儘管在台灣，像是金融業、高科技製造業在虛擬化的腳步都算走的快，但許多企業都還在一股腦的想把主機導入虛擬化，沒想過之後可能衍生的問題，過去資安人雖然也談過虛擬機上下線管理的問題，但Check Point台灣區技術顧問陳建宏說，其實從虛擬化的管理到安全還有一段距離。

就經驗而言，陳建宏說導入的挑戰多半並非技術性問題，而是組織架構、人的問題，目前看到虛擬化的進程，這一、兩年來，已經逐步從伺服器到網路，網路及資安團隊也開始被整合進來，逐漸意識到看不見虛擬化網路內的流量，發現有些無法掌握的風險存在。但這樣主導專案的單位，卻可能跨到其他團隊的領域權限，執行起來就可能沒有那麼容易。

組織分工需調整 重新釐清責任歸屬

一個虛擬化的環境，可能有來自伺服器、網路、資安團隊，而各自對他人的領域都不甚了解，需要許多的溝通與配合，三個部門要變一個部門來看。儘管考量有虛擬化安全需求，陳建宏說，但仍必須評估整體風險，這當中也包括了轉換架構的風險，導入任何的新解決方案，都可能會造成某種程度的服務品質低落，因此光是在這段的考量可能就會花去很多時間。

林佶駿觀察，甚至有些IT人員會以為，這些伺服器或應用程式只會”Client to Site”，是很單獨的運用，以為只會連接內網，殊不知還會跟後端的資料庫連接，因而發生很多你我都不知道的資安事件。陳建宏也說，同一個實體伺服器裡面，A虛擬機打B虛擬機根本就看不到，出事也不知道，通常只會覺得系統怪怪的，但是不知道這個異常是因為系統不穩定還是被攻打。就曾有一個企業在測試時，才發現在虛擬機之間交換的資料，與當初使用者申請的服務不相符，有不明的資料竄流。

張振倫認為一般原則是各團隊分工仍然可以單獨存在，不過會有更多的交叉協同，比如有了虛擬化，出現了虛擬交換機，而虛擬交換機駐留在伺服器上；另外，Security的某些元件也滲透到虛擬層中，駐留到伺服器中。通常遇到這種組織上的調整問題，劉乙提到，企業在初期會組成一個新的任務編組，專門針對虛擬化或是雲端環境的先期規劃與建置，在階段性任務結束之後通常就會轉成正式單位，多半是原來的主機或應用程式開發團隊，再加上幾個網路或資安團隊的人力。

為什麼會在組織上發生這樣的問題呢？從技術面簡單的來說，網管人員頂多只能夠管到虛擬機上面的一個「洞」，也就是在虛擬交換器上的連接埠，它接出去的VLAN ID有哪些？切VLAN ID的目的是要依權限或部門別來管理網路封包，使其資料能夠得到控管，但VLAN ID的設定通常又是管理伺服器或應用程式系統的人來負責，在實體世界，網路與機器的界線可以分明，但到了虛擬環境就通通都在虛擬機上跑，流量一旦進到伺服器裡就看不到了，尤其是各VM間的流量，傳統的防火牆當然也是控管不到。更別提在這種架構之下，資安人員角色應該如何扮演？資安政策該如何控管？

此外，導入虛擬化看來是一個不可逆的趨勢，尤其是審慎的單位更會在導入之前進行整體的規劃與考量。例如當企業逐步要將正式上線系統放到虛擬機上之時，可能會必須考量法規遵循的問題，林秉忠就說，金融機構的主管機關就有相關的規範，為了資安方面的考量，對外服務的網站主機與客戶資料庫主機不能放在同一台設備之上，否則一個作業系統出現漏洞，則另外一台也同樣淪陷。但是今天，當系統來到虛擬主機上，可能就會有爭議出現，如果能夠運用虛擬化安全設備切割乾淨，是否就可以視為兩台主機，符合規範呢？這是在實際運用面的議題考量。林佶駿也說，面對稽核的需求仍然是不變的，基本的資訊仍然要提供，所以也必須要能夠提供虛擬機器之上與之間的流量資料。

趨勢科技技術總監戴燊則分享客戶使用經驗，在一些不同的服務上會出現不同的虛擬化安全應用，例如金管會規範銀行所有的資料異動都要留有記錄、主管簽核，才能符合法規。那麼所有與機敏資料相關運作的部分就會做監控、記錄、簽核。但若進行到檔案交換，牽涉到其他的軟體及其上的資料，可能就會啟動防毒的模組。

虛擬安全架構日趨完善　 應統一考慮

前面談到一些管理層面上的基本需求。再談到資安，虛擬環境下的安全和傳統安全類似，只是虛擬防火牆和虛擬IPS會導入動態、移動的特性，因為虛擬安全環境中的安全性原則不是靜態的、綁定物理埠或設備的方式；虛擬防火牆往往通過通用的x86伺服器直接運行，不需要專門的硬體。當然，剛開始的時候，虛擬規模小，大家沒有感覺虛擬化給安全帶來什麼挑戰；隨著虛擬規模的擴展，虛擬專屬的Firewall/IPS就因應而生。張振倫認為，從虛擬初期就應該考慮虛擬安全，只是大家原來沒有完整的虛擬安全方案可以選擇，今天隨著虛擬化和安全廠商的共同努力，虛擬安全架構日趨完善，所以建議開始進行虛擬架構設計時，就將安全作為重要的元件進行統一考慮。HP TippingPoint安全技術顧問石謂龍則說，其實企業的規模大小並不一定會影響到虛擬化安全的進展，他認為主要是產業別的差異，例如許多線上遊戲公司規模雖小，但可能資產的重要度高，其重視程度與投入資源就比較多。

但虛擬化與實體中最大的差異問題就在於「隔離」，實體機器上面的每個虛擬系統之間是否可以互相隔離？Fortinet台灣區技術顧問劉乙就談到，需要採取虛擬化安全的最主要目的，是要進行阻擋跟控制，所以第一個會想到的就是用防火牆，再來就是主機跟主機之間的流量問題，比較不像Client端，會有人為操縱因素，可能會去看一些圖片或是下載什麼東西，造成很大一部分的資安問題。

而主機上的常見威脅，一則可能是程式設計的有問題，其二就是可能主機本身有漏洞，可被塞惡意程式進去。所以主機最怕的就是被攻擊，例如說某一台被植入木馬，也許就透過Port 80去攻擊另外一台，並且還會測試看哪些通道可用就會去試，所以第二步就會考慮到導入IPS。

而以各種虛擬安全解決方案來說，以資安的技術門檻來說，防火牆、IPS是較容易做的，所以資安廠商會以防火牆為大宗，同時也是許多user的基本需求。但相較起來，防毒的解決方案會耗損較多的運算資源，相對的，防毒廠商需投入的資源也多，例如病毒碼的更新頻率可能是每天。就如同實體網路的建置一樣，架網路通常都會先放置防火牆，在虛擬化負載的程度上也較防毒或IPS輕，尤其光是網路本身的建置就有很多企業會採用防火牆當閘道口的控管、切割網段、NAT，所以必須先做好這基本的控管，才能再談進一步的資安。儘管功能不同，但早先便有人預測防火牆與IPS市場將會越來越靠近，林秉忠說。尤其在虛擬化環境其擺放位置相同，便將它們帶到了同一個戰場，未來可能很容易在這塊市場競爭。

另外就是使用者資安意識的問題，原本特別重視內網安控的企業便不多，來到虛擬環境也一樣。其實，有不少人談到虛擬化安全，都會覺得實體環境與虛擬化之間，尤其在基礎建設方面並沒有太大的差別。這是因為對企業來說，以私有雲的虛擬化來看，系統、網路、設備都在內網當中，所以安全防護只要可以阻擋來自外部的攻擊就沒有問題了。過去在實體環境內設置的防火牆、IPS等設備，大部分還是拿來控管內外網之間的通訊，很少拿來用做內網的管控，除非是高安全需求的單位。Websense資安顧問林秉忠觀察到目前大部分企業的想法是，如果在內網安控方面並沒有特別嚴謹的控制，則換到虛擬環境來說也一樣，從網路安全角度的思維來想，虛擬化的安全都還是屬於「內網安全」。

防護虛擬網路方式

目前市場上的虛擬化安全管理方式，大致上可分成以下幾種： 

1.VLAN Segmentation

在虛擬機內建的Virtual Switch上用VLAN的方式來劃分，切出不同的VLAN ID來對權限、網段做控管，在目前市場上這些虛擬化防火牆解決方案出來之前，可能會採取這樣的做法，林佶駿說，一旦VM數量多VLAN的管理就會變得複雜，並且它僅是一個交換器，沒有防火牆的概念，所以只能做ACL的控管，指令將會下的相當辛苦，網路中的流量去、回都得要設定正確的port number、port range，目前仍有不少企業還是採取這樣的做法。除了管理複雜以外，也缺乏對Hypervisor的可視度。

2.Agent-based（如Trend Micro DeepSecurity）

等於是在每個Guest OS都安裝個人防火牆的意思，因此在效能影響上較大，並且VM數量一多，軟體授權與管理費用支出也會隨之增加，例如在Policy、Patch的更新也會造成管理負擔，支援度是另外一個考量點，Guest OS並不一定是普遍常見的Windows、Linux，可能會遇到防火牆的Agent不支援該OS版本的問題。

3.VM- based（例如Trend Micro DeepSecurity、Check Point Security Gateway VE、HP TippingPoint vController、Fortinet FortiGate、Cisco ASA）

這是目前大多數的虛擬化安全解決方案廠商都會具備的一種架構，主要是將舊有的軟、硬體架在虛擬機上，再將所有的流量，包括虛擬機上和各VM間的流量導入該設備，在整體效能上亦會受到影響。好處是對整體網路架構的變動小。

4.Kernel-based（例如VMware、Juniper vGW系列、Reflex Systems）

由於是以虛擬化廠商提供的API做為基礎，在Kernel模式上運行，在底層運作所以標榜效能較快，但亦有一說是CPU效能有其極限，即使是此種模式運作效能也相差無幾。可掌握Hypervisor層的資訊，流量溝通無需藉助Agent，不過由於控管方式受到原生API限制，較不彈性，另外需視控管數多寡及管理方式另支付授權費用。張振倫也說，VMware vShield則是提供API與其他資安廠商聯合打造虛擬安全產品。