虛擬世界中的安全性

5Seven

IBM 于 10 月份推出了 PowerSC 技術(shù)，將其作為面向在 AIX 虛擬環(huán)境和云環(huán)境中運(yùn)行 Power Systems 服務(wù)器的客戶的一種新的安全性與合規(guī)性解決方案。PowerSC 技術(shù)與 PowerVM 和 PowerHA 技術(shù)一樣，都是 IBM 越來越注重 Power Systems Software 堆棧（參見圖 1）的產(chǎn)物，它可以自動(dòng)化安全性與合規(guī)性管理，改進(jìn)安全漏洞的檢測(cè)與可見性，以及 AIX 虛擬系統(tǒng)的可審核性�！皩�應(yīng)用程序轉(zhuǎn)移到云中時(shí)，運(yùn)行虛擬環(huán)境的客戶希望能獲得與物理環(huán)境中同樣可靠的安全管理功能，” IBM PowerVM 與 PowerSC 產(chǎn)品經(jīng)理 T. R. Bosworth 表示。

PowerSC 技術(shù)位于 AIX 的 Power Systems Software 堆棧中的虛擬安全層�！鞍踩�功能將利用 Power Systems Software 堆棧的所有特性，從系統(tǒng)管理程序與固件到虛擬層，再到 AIX 操作系統(tǒng)，” Bosworth 說。Power Systems Software 安全架構(gòu)師 Shawn Mullen 表示，事實(shí)上，IT 管理員會(huì)發(fā)現(xiàn) PowerSC 技術(shù)的功能最大程度地削弱了虛擬環(huán)境的影響，從而提供了甚至比傳統(tǒng)的單機(jī)系統(tǒng)更強(qiáng)大的安全模型。

PowerSC 架構(gòu)包含 4 種重要的技術(shù)：可信引導(dǎo)與可信監(jiān)控、可信日志記錄、可信網(wǎng)絡(luò)連接與補(bǔ)丁管理以及安全與合規(guī)性自動(dòng)化。

1. 可信引導(dǎo)和可信監(jiān)控

為了確保虛擬主機(jī)的完整性與可信度，PowerSC 技術(shù)提供了可信引導(dǎo)，它是來自可信計(jì)算組 (www.trustedcomputinggroup.org) 的可信平臺(tái)模塊 (TPM) 的一種虛擬實(shí)現(xiàn)。vTPM 是一種與 PowerVM Hypervisor 聯(lián)合使用的嵌入式 PowerSC AIX 功能，與虛擬環(huán)境的 TPM 芯片等效，用于在每臺(tái)虛擬機(jī)引導(dǎo)時(shí)確保操作系統(tǒng)內(nèi)核的完整性 —— 在它能夠執(zhí)行任何命令之前。

“位于磁盤上的引導(dǎo)鏡像是以加密方式測(cè)量的，內(nèi)核的引導(dǎo)，設(shè)備驅(qū)動(dòng)程序的加載，以及用戶特定的應(yīng)用程序都是如此，” IBM 香港的項(xiàng)目經(jīng)理 David Haikney 表示。這些測(cè)量使用 vTPM 中的私鑰打了 “標(biāo)記”。通過一個(gè)叫做遠(yuǎn)程證明的過程，這些打標(biāo)記的測(cè)量結(jié)果證實(shí)了整個(gè)系統(tǒng)的完整性。vTPM 可以與 AIX Trusted Execution 技術(shù)聯(lián)合使用，以保護(hù)從引導(dǎo)鏡像到運(yùn)行應(yīng)用程序的整個(gè)堆棧。

“云完美地詮釋了這種技術(shù)的價(jià)值，” Haikney 說，“您的虛擬主機(jī)位于另一家公司提供的數(shù)據(jù)中心內(nèi)，距離幾千英里，但借助可信引導(dǎo)，您可以擁有對(duì)此系統(tǒng)的可信度與完整性的強(qiáng)大加密保證�！� 可信監(jiān)控 OpenPTS 顯示了參與可信配置的所有 AIX 系統(tǒng)的可信狀態(tài)，允許客戶端監(jiān)控和證實(shí)它們虛擬 AIX 系統(tǒng)的可信度。“如果有人在幕后篡改了磁盤引導(dǎo)鏡像、操作系統(tǒng)或應(yīng)用程序，OpenPTS 會(huì)向您顯示該系統(tǒng)不再可信，” Mullen 說，“遠(yuǎn)程證實(shí)過程無法被模仿或重放，即便系統(tǒng)上存在中間人或惡意引導(dǎo)也是如此�！�

2. 可信日志記錄

審核計(jì)算環(huán)境的功能對(duì)于確保安全合規(guī)性至關(guān)重要，能夠讓 IT 管理員快速識(shí)別用來隱藏安全漏洞的一些行為。然而，經(jīng)驗(yàn)豐富的黑客能夠篡改或刪除大多數(shù)系統(tǒng)中的審計(jì)數(shù)據(jù)。通過捕捉虛擬層中的審計(jì)數(shù)據(jù)，PowerSC 中的可信日志記錄將來自每臺(tái) AIX 虛擬機(jī)的所有 AIX 系統(tǒng)日志集中到一臺(tái)安全的 IBM Virtual I/O Server 上，幫助確保任何 AIX 虛擬機(jī)管理員都不能夠刪除或更改系統(tǒng)日志。這還可以降低 IT 管理的開銷，因?yàn)樗�可以在某個(gè)中心位置存檔或保存日志。

“AIX 已經(jīng)擁有一組豐富的審計(jì)功能，但大多數(shù)審計(jì)系統(tǒng)中的一個(gè)弱點(diǎn)是超級(jí)用戶能夠輕松訪問物理或虛擬機(jī)器上的審計(jì)文件，并刪除任何行為跟蹤數(shù)據(jù)，” IBM 香港首席開發(fā)人員 Geraint North 表示， “借助可信日志記錄，您的審計(jì)信息將是不可改變的，因?yàn)樗鼘?shí)時(shí)保存在 Virtual I/O Server 上。一旦有內(nèi)容寫入日志中，甚至是具有超級(jí)用戶權(quán)限的管理員也無法修改或刪除它�！�

3. 可信網(wǎng)絡(luò)連接與補(bǔ)丁管理

補(bǔ)丁管理在大型企業(yè)環(huán)境中非常復(fù)雜，而虛擬基礎(chǔ)架構(gòu)的引入則讓這個(gè)挑戰(zhàn)愈發(fā)嚴(yán)峻。因?yàn)樵谘a(bǔ)丁應(yīng)用過程中，虛擬機(jī)可能掛起、關(guān)閉、暫停或轉(zhuǎn)移到其他服務(wù)器上，它們可能會(huì)錯(cuò)過更新和打補(bǔ)丁的時(shí)間窗口，致使其中的漏洞依然存在。PowerSC 中的可信網(wǎng)絡(luò)連接 (TNC) 與補(bǔ)丁管理用于檢測(cè)不滿足已確立的補(bǔ)丁策略的 AIX 虛擬系統(tǒng)，并在這些系統(tǒng)上線時(shí)通過短信或電子郵件警告管理員。

“如今的典型做法是，您應(yīng)用所有補(bǔ)丁并希望一切正常工作，” Mullen 說，“沒有任何通知。TNC 與補(bǔ)丁管理保證您所有的機(jī)器都運(yùn)行在虛擬數(shù)據(jù)中的正確補(bǔ)丁級(jí)別上，如果沒有處于正確級(jí)別，您會(huì)立即收到通知�！� TNC 與補(bǔ)丁管理分析來自 Service Update Manager Assistant 與 Network Installation Manager 的數(shù)據(jù)，在激活期間檢查每臺(tái)虛擬機(jī)，檢查內(nèi)容包括常規(guī)引導(dǎo)、掛起后的恢復(fù)和通過 Live Partition Mobility 的激活�！斑@項(xiàng)功能確實(shí)改善了環(huán)境的可見性，因此您不必做如此之多的手動(dòng)檢查，” Bosworth 補(bǔ)充道。

4. 安全性與合規(guī)性自動(dòng)化

借助第三方安全標(biāo)準(zhǔn)確保系統(tǒng)合規(guī)性是一個(gè)復(fù)雜的、勞動(dòng)密集的、通常非常昂貴的過程。合規(guī)性標(biāo)準(zhǔn)的文檔篇幅很長而且較為復(fù)雜，通常很難轉(zhuǎn)換為正確的 AIX 設(shè)置。根據(jù) Ponemon Institute 在 2011 年對(duì) 46 家跨國組織的從事主管 IT 、私密性工作與審計(jì)工作的 160 位個(gè)人所做調(diào)查的結(jié)果，公司花在合規(guī)性方面的資金平均每年為 350 萬美元 (http://bit.ly/qfH1vG) 。為了簡化管理工作與成本，PowerSC 安全性與合規(guī)性自動(dòng)化提供了預(yù)置的系統(tǒng)配置文件，以便自動(dòng)化符合行業(yè)標(biāo)準(zhǔn)的過程，比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)、美國國防部安全技術(shù)實(shí)施指南、信息控制目標(biāo)和相關(guān)技術(shù)標(biāo)準(zhǔn)，以及上市公司必須遵循的薩班斯 - 奧克斯利 2002 法案。該配置文件包含針對(duì)幾種 AIX 配置區(qū)域的推薦設(shè)置，比如最小密碼長度、密碼重用、鎖定之前不成功登錄嘗試的次數(shù)以及其他的配置方面。 “其他產(chǎn)品的工作方式也類似，但絕大多數(shù)情況下，您必須親自編寫配置，” Mullen 說，“能大大節(jié)省工作量的地方是：IBM 一直為我們的客戶牢牢掌控著這些標(biāo)準(zhǔn)，也就是那些厚厚的文檔�！� Bosworth 補(bǔ)充道。

PowerVM 虛擬化技術(shù)中的 PowerSC 嵌入式組件有助于在虛擬工作負(fù)載中強(qiáng)化安全性和簡化合規(guī)性，為合規(guī)性審計(jì)打好基礎(chǔ)�！澳�可以通過 AIX 與 Virtual I/O Server 上的一個(gè)命令行，或者在 AIX Profile Manager 中應(yīng)用這些標(biāo)準(zhǔn)，” Mullen 解釋道。AIX Profile Manager 是 IBM Systems Director 的一個(gè)高級(jí)插件，支持安全配置文件的集中應(yīng)用與合規(guī)性標(biāo)準(zhǔn)的報(bào)告。在 AIX Profile Manager 中，您還可以運(yùn)行顯示合規(guī)性配置的報(bào)告，并在發(fā)現(xiàn)未授權(quán)的參數(shù)修改時(shí)向您發(fā)出警告。

“這項(xiàng)功能讓您可以將標(biāo)準(zhǔn)應(yīng)用于多個(gè)系統(tǒng)，并從一個(gè)中心控制點(diǎn)監(jiān)控它們，從而將審計(jì)費(fèi)用降至最低，” Mullen 說。它還為最高級(jí)管理員提供了一個(gè)跨企業(yè)的清晰的合規(guī)性視圖。 “通常，如果低級(jí)管理員修改了某臺(tái)計(jì)算機(jī)上的設(shè)置，用戶無法知道這些。而 PowerSC 安全性與合規(guī)性自動(dòng)化會(huì)為他們提供了該視圖，因此如果某臺(tái)計(jì)算機(jī)提供了一個(gè)很糟糕的報(bào)告，他們可以拿起電話呼叫相應(yīng)的管理員�！�

在安全方面領(lǐng)先一步

在發(fā)布用于 AIX 的 PowerSC 技術(shù)之前，IBM 與很多客戶合作，幫助識(shí)別他們特定的業(yè)務(wù)挑戰(zhàn)與安全功能的優(yōu)先級(jí)。據(jù) Bosworth 說反響還不錯(cuò)。最初，PowerSC 技術(shù)有兩個(gè)版本：

Express Edition支持 AIX 5.3、6.1 與 7.1 系統(tǒng)。它提供安全性與合規(guī)性自動(dòng)化功能，設(shè)計(jì)用于外部標(biāo)準(zhǔn)的基本合規(guī)性，在與 AIX Profile Manager 聯(lián)合使用時(shí)能達(dá)到最佳操作效果。AIX Profile Manager 自動(dòng)化并集中了對(duì)于合規(guī)性的控制與報(bào)告。Express 版本也可以從命令行進(jìn)行操作。

Standard Edition在所有 Power Systems 服務(wù)器上均有提供。（可信引導(dǎo)要求提供 eFW7.4 或更高版本固件的 POWER7 硬件。）它包含 PowerSC Express Edition 的功能，還提供了可信引導(dǎo)與監(jiān)控、可信日志記錄，以及可信網(wǎng)絡(luò)連接與補(bǔ)丁管理。

新方向

Bosworth 與 Mullen 指出，PowerSC 的一項(xiàng)關(guān)鍵優(yōu)勢(shì)是注重服務(wù)器硬件與客戶虛擬機(jī)集成。PowerSC 提供虛擬 TPM 與 TNC 補(bǔ)丁管理功能，以及與客戶操作系統(tǒng)外部標(biāo)準(zhǔn)的合規(guī)性，這也幫助它在市場(chǎng)中形成了特有的競爭優(yōu)勢(shì)。

“它是一種經(jīng)過深思熟慮的安全模型與架構(gòu)，” Bosworth 說，“因?yàn)槲覀兊?PowerVM Hypervisor 構(gòu)建在固件中，我們的安全功能能夠感知整個(gè) Power Systems 堆棧�！�

Adds Mullen 說 “我相信這種技術(shù)在安全方面引領(lǐng)了一個(gè)新的方向，并使得 Power Systems 繼續(xù)保持市場(chǎng)領(lǐng)導(dǎo)地位。”

關(guān)于作者

Sara Aase 是一名來自美國明尼阿波利斯市的自由撰稿人。

http://www.ibm.com/developerworks/cn/aix/systemmaga/8/Security_Virtual_World/index.html