"虛擬化技術并非天生就不安全。然而,大多數虛擬化的工作負載其部署方式卻是不安全的。"Gartner公司的分析師Neil MacDonald今年早些時候在一份名為《應對數據中心虛擬化項目中最常見的安全風險》的報告中這樣寫道。
虛擬化項目方面的規劃應該總是讓信息安全團隊參與進來;但是根據Gartner的調查數據顯示,40%的虛擬化項目在安全團隊沒有參與初期架構和規劃階段的情況下就倉促上馬了。
MacDonald指出,由于虛擬機管理程序統管在物理服務器上運行的所有工作負載,因此某一威脅"可能導致在上面處理的所有工作負載受到危及。"在傳統架構中,一臺服務器受到威脅只會使該服務器上的工作負載面臨險境,而在虛擬化數據中心中情況就不是這樣了。
虛擬機管理程序本身還加大了受攻擊面(attack surface)。比如說,VMware正在改造自己的虛擬化架構,以便擺脫基于Linux的服務控制臺,目的就是為了將受攻擊面從約2GB縮小至100MB。
盡管這改善了安全性,但是客戶在安全方面仍需要引起重視。Gartner建議用戶應該從安全和管理的角度,將虛擬化平臺視作"你數據中心中最重要的IT平臺"。
Gartner認為,IT部門需要制定有關合并不同信任級別的工作負載的策略,并且在評估新的安全和管理工具時,"應偏愛那些涵蓋物理環境和虛擬環境,使用統一管理、策略和報告框架的工具。"
報告還指出,IT部門必須關注在虛擬機管理程序層安裝的任何代碼所存在的安全漏洞,包括驅動程序、插件和第三方工具,并且確保一切都是最新版本,并打上了補丁。
就算虛擬化層與之前的物理架構一樣安全,但用戶往往配置更多的虛擬機意味著,你的覆蓋面更大了,"一旦你的覆蓋面擴大,面臨的安全風險就會隨之加大。"
Turner正在關注幾款系統管理工具,比如Cfengine、Puppet Labs和Chef,目的是為了使驗證補丁、刪除過期用戶帳戶等過程實現自動化,并且確保配置文件沒有遭到篡改。
在服務器進行虛擬化之后,即使像運行反病毒軟件這類相對簡單的任務也可能變得更復雜。Harper指出,他的員工不得不手工修改每周掃瞄Windows Server實例的時間,因為要是不這么做,這些掃瞄就會同時執行,從而導致輸入/輸出負載過大。
Harper表示,客戶們需要結合新的產品和流程,才能防止虛擬化帶來麻煩,因為把虛擬機當作物理裸機那樣來管理根本行不通。
不過,Harper和Sabre公司的高級IT專家Jim Brewster對虛擬世界的安全性持樂觀態度。Brewster表示,對安全區實行物理隔離正在讓位于基于軟件的安全區;而且有了虛擬化管理工具,胡作非為的IT管理員就很難在其操作不被日志記錄的情況下篡改系統。
微軟和VMware為多少進程應留在操作系統中、多少進程應推向虛擬機管理程序層爭辯不休。但是Brewster盼望著安全功能進入到虛擬機管理程序。
Brewster說:"我認為,到時你可以更清楚地了解、更有效地控制出現的情況,摸清虛擬機里面誰在和誰聯系的情況。"
京公網安備 11010502049343號