兼顧資安與效能需求，考量虛擬系統防護架構

自從企業開始應用Hypervisor技術，以虛擬化架構將原本在實體伺服器上運行的應用系統，逐一轉移到虛擬主機（Virtual Machine）上提供服務後，虛擬化環境該如何防範資料外洩、駭客攻擊等資安事件的威脅，始終是備受關注的議題。主要是因為虛擬主機架構於Hypervisor上，實現提昇實體資源利用率的同時，卻也讓虛擬主機本身以及服務系統的運作狀態，難以完全沿用以往實體伺服器架構的安全控管機制來掌握。

為了因應這股虛擬化安全需求，眾家資安設備廠商，包括防火牆、IPS（Intrusion Prevention System）、UTM（Unified Threat Management）等，可說是除了設備產品以外，皆有推出Virtual Appliance的版本，可供企業架構在虛擬環境中實施防禦。實作方式大多透過API方式與Hypervisor層溝通，或是更改網路架構，例如直接以VLAN方式來隔開虛擬主機，當虛擬主機之間要進行溝通時，先經由vSwitch將流量導出實體伺服器，到資安設備解析偵測後再繞回目的地端，達到實體隔離與防護。

監測虛擬主機間流量

以VMware平台為例，IBM Security Virtual Server Protection與HP TippingPoint Virtual Controller（vController）等資安方案，皆是仰賴VMware釋出的VMsafe來執行防火牆、IPS等安全控管。若虛擬主機之間的傳輸流量沒有被監看，萬一發生跨虛擬主機之間的攻擊（Inter-VM）事件，除非每個虛擬主機上皆具備端點防禦，否則根本無法得知。

「而利用VMsafe這個API，不須加裝代理程式，即可從Hypervisor層監看網路行為。且因為TippingPoint vController架構屬於In-line模式，所以當網路流量發生時會先被導出實體主機，經TippingPoint設備檢測完成後再回傳回去，網路傳輸亦不致因此發生延遲。」蕭松瀛解釋。不論虛擬主機發生新增、IP異動、搬移等狀況，皆不需要再有額外設定配置，在虛擬伺服器內的流量都可以被檢測。

同樣具有Virtual Appliance版本的Fortinet，其FortiGate-VM則非透過VMsafe來實作，而是以一台虛擬主機方式運行。「不諱言，效能表現的確沒有直接整合Hypervisor來得好，」但畢竟資安相關機制少不了封包解析與比對等動作，勢必需要大量運算資源；其實不論何種架構，如果還是在虛擬伺服器中，執行效能都會受到牽制，尤其在x86平台上執行比對運算，效能往往不理想。想要如同實體設備般的效能表現，虛擬主機還得配備非常強大的CPU與記憶體，成本不低。」

以實體設備防護虛擬

會選擇架構軟體式的虛擬化資安產品的客戶，多數是因為虛擬主機皆位於相同網段，彼此間的連線溝通行為可能在單一實體伺服器中就已完成，IT管理者根本無從監控，才會選擇把資安防護機制架設在虛擬伺服器上。

其實多數企業端實際應用環境並沒有想像中複雜，一般企業內部常見的應用系統，像是Web、資料庫、ERP等系統，即使是全數轉移到虛擬伺服器平台，多數企業不到十個虛擬主機就已足夠，如此狀況下其實採用外部實體資安設備，以VLAN方式架構，會比軟體式更單純便於管理。

早期談虛擬化建置時會陷入迷思，似乎所有的控管機制也要運作在虛擬環境。可是後來發現，只要一個點出現問題，就會拖垮其他應用，所以後來反而傾向透通式介接到外部實體設備，利用效能成本較低的專屬設備，來做資安防禦。

儘管IBM有提供可整合Hypervisor的資安方案，但若遇到客戶對虛擬系統效能較敏感，或資安機制的需求較多，仍舊會建議在資安建置方面還是採用實體架構比較穩定，才可確保效能運作順暢。

Host-Based仍有市場

其實無論何種新興應用技術被提出，就算可藉此大幅提昇營運效率，若缺乏相對應的安全控管機制，企業仍舊不會冒然採用。因此自五年前虛擬化技術開始出現在市場的初期，趨勢科技就跟VMware合作提供虛擬系統中的安全控管機制，推出代理程式（Agent）與無代理程式（Agentless）的Deep Security，其中無代理程式即是以Virtual Appliance型態提供，同樣運用VMsafe來提供防毒、防火牆、IPS三種防護機制。

雖然許多企業用戶不喜歡Host-based的資安防禦，因為會讓原本就相當忙碌的伺服器增添負擔，但有時礙於法規遵循，至少必須要具備防毒機制，而防毒軟體的代理程式除了病毒掃描，同時還具備防火牆與IPS機制，亦可在作業系統或應用程式的更新程式未被及時安裝時，利用Virtual Patch避免遭受零時差攻擊，因此採用代理程式方案的客戶其實也不少。

應用層控管仍是重點

即使在Hypervisor已經建置嚴密的資安管控，仍舊不可忽視來自應用層的資安威脅。現代化駭客攻擊行為猖獗，網頁應用程式可說是重要的攻擊管道之一，而且僅從Hypervisor層亦無法得知應用程式執行行為，像是SQL- Injection、PHP Inject、Cross Site Script等常見的攻擊，仍舊必須有能力抵擋。因此WAF（Web Application Firewall）解決方案在虛擬化應用環境同樣重要。

伺服器虛擬化後的確顛覆傳統IT基礎架構，但是就本質來看，所需具備的元件仍然是伺服器、儲存、網路、應用程式，差異只在於框架（Framework）的建置。在虛擬架構中會談Provisioning，指的多半都是網頁應用程式，因為前端提供服務的方式並沒有改變，只是後端與底層的技術框架因應伺服器虛擬化而有不同的配置。

如此的變化下，各個企業會依據營運業務調整最具成本效益的IT架構，所需採用的解決方案組合也就難以一體適用。例如為了確保虛擬環境的安全性，而發展出Virtual Appliance的作法，實際應用後又發現會影響伺服器執行效能，於是又回歸到實體資安設備來提供防護機制。其實不論虛擬化後IT基礎架構如何改變，既有會出現資安問題的環節仍然存在，防護策略亦需因應架構的調整，才能降低虛擬化環境的資安風險。

（此篇文章為網路轉載，如有侵權請告知，會盡速將文章下架！）