據了解,許多人在用以前的安全工具來確保數據中心虛擬化環境的安全。最近,加布里埃爾咨詢集團開展了一項新的調查,邁克菲公司發布了調查結果。其結果顯示:我們在使用同樣的工具來確保物理服務器和虛擬服務器的安全!
在2010年第三季度期間,中小企業到特大跨國公司的140多名數據中心從業人員接受了調查;調查的問題涵蓋面很廣,從現有安全措施具有的效果(他們的數據中心安全措施是否跟得上攻擊數量和復雜性都與日俱增的態勢),到對于安全方面的顧慮是不是在阻礙采用私有云或公共云的步伐持什么觀點,不一而足。
還是回到保護虛擬環境和物理環境安全的工具類型方面的調查結果吧。約70%的調查對象在受訪時表示,他們使用同樣的安全機制來保護物理系統和虛擬化系統。只有20%多一點的人不同意這一觀點(剩下極少數人居然不知道安全工具還分虛擬安全工具和物理安全工具)。
一年多前,Gartner發布了調研結果,估計當時有60%的虛擬服務器不如被他們更換的物理服務器來得安全。Gartner當時還預測,這種不安全的現狀會一直持續到2012年。
原因很明顯:與虛擬化技術有關的安全問題以及虛擬化工作負載與物理環境下的情況不一樣。
正如Gartner當時所言,雖然IT人員可能認為,自己已經具備確保工作負載、操作系統和底層硬件安全的技能(你也知道,底層硬件方面其實沒有任何變化),但是現在有一個新的軟件層:虛擬機管理程序和虛擬機監控程序,它們必須考慮在內。Gartner解釋,這個新的軟件層帶來了新的安全漏洞。而如果虛擬化層面臨威脅,在上面運行的所有工作負載都有可能受到危害。
這家調研公司還表示,企業機構不該依賴基于主機的安全控制措施來檢測安全威脅,或者保護在主機下面運行的任何東西。Gartner還提到了虛擬化環境另外帶來的種種風險:基于網絡的安全設備看不到單一主機里面多個虛擬機之間的通信;不同信任級別的工作負載被合并到單一主機上,卻沒有予以足夠充分的隔離;虛擬化技術沒有提供足夠到位的機制,控制管理員對于虛擬機管理程序和虛擬機層的訪問;當物理服務器合并到單一機器上后,就面臨這種風險:系統管理員和用戶可能訪問本來無權訪問的數據。
邁克菲和加布里埃爾咨詢集團認為,很少有安全套件針對虛擬化系統進行了優化;數據中心中的安全軟件大多“經過了改動,以便適用于虛擬化系統,而不是著眼于虛擬化技術,完全從頭設計(或重新設計)。”
起草調查的人員表示,分區遷移(partitionmobility)等虛擬化功能需要得到特別的處理。雖然我們的調查對象沒有提到這個問題,但我們認為,從安全的角度來看,肯定有一些虛擬化功能(如分區遷移)需要得到特別的處理。
在宣布調查結果的新聞稿中,邁克菲公司網絡安全副總裁GregBrown說:“向虛擬化數據中心遷移要求企業機構在設計階段及早考慮安全方法。如果使用針對虛擬化環境進行了優化的網絡和系統安全解決方案,可以確保數據中心持續不斷地運行,性能不會受到影響。邁克菲的解決方案提供了無縫的安全管理功能,可以統一保護傳統的數據中心資源和虛擬化的數據中心資源。”
邁克菲和加布里埃爾咨詢集團的這項調查還有其他值得關注的內容。那就是,近一半的調查對象表示,他們在不斷發現新的安全漏洞;40%以上的調查對象覺得,本企業在安全方面的步伐跟不上安全威脅的發展態勢;約70%的調查對象對于公共云的安全表示懷疑;40%的調查對象表示,日常安全并不符合公司官方政策所要求的標準。