任何企业网络都会有很多虚拟环境。有趣的是,我发现大多数虚拟服务器和VLAN环境都没有对攻击进行任何的防范。仅仅是因为虚拟环境是你“四堵墙”内事,并不是所有人都可以自由访问。而这也正是虚拟防火墙策略可以对你有所帮助的地方。
想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的:
1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境?
2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口。
3.如何应用或改善最小特权原则,以确保只有在业务需要时才可以访问系统?
4.如果虚拟化安全控制出现问题,在使用Metasploit工具防止弱点的二次开发时,还有哪些阻碍?
如何在虚拟化防火墙策略中分割流量
一旦你决定做这些事情,你就得退一步想想看,在使用虚拟化防火墙策略时,如何做流量分割更好,以及只让需要的人员访问系统。它的存在形式可能是每个操作系统上运行的传统网络防火墙和个人防火墙软件。大多数部门都成功的将本地管理程序和OS控制机制与自身特点结合起来利用,以建立相关的安全虚拟环境的经验。但是事实上,这种环境的安全性仍然无法与物理主机环境中的安全性相提并论。此外,在所有最简单的虚拟环境中,系统复杂程度会呈指数增长,这将更难达到你所追求的安全性。
我非常确信,复杂性是安全的敌人,如果不是,那么环境中使用的一些工具的效果可能会更好,诸如VMware的vShield或来自第三方厂商的虚拟防火墙产品,如Reflex Systems,Altor Networks (现在已经被Juniper收购了) 以及TBD Networks。如此以来,您还会在虚拟环境中得到更佳的可视性,更精细的控制力,以及更优的系统性能和可扩展性。
LAN中的安全漏洞
有一点你需要牢记,那就是你永远不要低估来自内部的技术水平和意图。我发现的虚拟环境中的大多数弱点使用免费工具或按照书本中、网页上中指导的步骤就能很容易的进行二次开发。恶意软件也是一样。