很多公司熱衷于虛擬化這東西,卻沒有在安全上做出相應的改變。僅僅是簡單地將物理技術措施用在虛擬化上,出現漏洞是必然的。
根據一項新的研究發現,約85%的英國企業沒有針對虛擬化更新安全工具。2009年,虛擬服務器的數目第一次超過物理服務器,其后虛擬化一直有著強勁的增長。
安全專家公司Trend Micro委托研究公司Vanson Bourne做的一項研究發現,很多企業似乎沒有意識到隨虛擬化而來的危險,只有不到一半承認虛擬化引入了新的風險而需要相應的安全措施。
Trend產品經理James Walker說,“通常他們會采取傳統上用于物理環境的安全方法,嘗試著用到虛擬環境上。這會對性能有影響,因為傳統的安全方法不是為虛擬環境設計的。它沒有考慮虛擬環境的特殊性,會有安全漏洞。”
安全管理問題
Walker說,傳統的安全工具用在虛擬機上時往往力不能及,還會有管理上的問題。
他說,“(傳統方法的)安全軟件是裝在物理機上的。你知道機器在哪里,你知道有哪些應用程序在運行。機器有它自己的處理器和內存,比如,可以用來做定期掃描。”
“現在,在一個虛擬環境下,會有幾個虛擬機在同一個物理服務器上運行,共享內存和處理器。某一定期掃描開始運行時,完全可以用光服務器上的資源而影響其他應用程序,造成程序不能運行或無反應的情況。”
研究發現,10個企業里面有9個說他們對維護安全感到力不從心,并說虛擬化是造成IT基礎設施復雜性增加的一個因素。只有11%的受訪者認為他們做足了安全更新。
Walker說,虛擬化的安全管理問題涉及到補丁,安全策略和軟件簽名。
“新的虛擬機在配置時或是虛擬機休眠時,更新沒有跟上。我們稱之為現開間斷(instant-on gap)。現開間斷會帶來一些問題。這些虛擬機開始運行或復活后,它們的相關軟件簽名或安全策略不是最新的,這會導致極大的潛在問題,”沃克說。
“另一個問題是,將虛擬機從一個Hypervisor上移到另一個Hypervisor上時,傳統意義上的安全已不復存在。安全管理上一旦涉及到復雜性,安全管理就會變得非常困難。“
主要的安全隱患
Trend的技術總監Michael Darlington也同意虛擬化的主要安全風險在于現開間斷(instant-on gap)。
“現開間斷(instant-on gap)是一個大漏洞。比如說,突然要交季度末尾或是年底報告,開了服務器運行。那這服務器有好一段時間沒有運行。如果像在傳統的環境中一樣,你會把這期間所有微軟發布的補丁、Java更新,不管是些什么更新,全送給這臺機器,這機器就在那待上一天,或是一個小時,或是10分鐘——沒人知道多長時間——運行更新序,”Darlington說。
他說,問題的答案是將安全技術定位在Hypervisor層次上,如此當虛擬機器開了以后就不會有安全漏洞,因為Hypervisor已經確保安全補丁是更新過的。
研究對100個擁有1000名員工以上的公司調查發現,在使用虛擬化環境的公司里,44%的公司正在使用基礎設施作為服務(IaaS)或計劃會這樣做。
大部分公司,即是61%的公司,在用IaaS的同時支付安全服務費用,但一半的公司則只是把對付數據中心那一套安全措施用到這些服務上。十分之四的公司認為基礎設施服務使得管理IT安全更趨向復雜化。
京公網安備 11010502049343號