保卫虚拟化安全 企业该选哪把枪？

服务器虚拟化横扫了数据中心，但有个事实却让人心寒，那就是人们在设计、测试或部署服务器虚拟化的过程中很少考虑到安全性。这个问题事关重大，因为物理世界中的传统安全策略和做法在虚拟世界中完全不同。

虚拟化安全需要防卫的枪

物理世界的安全往往与“物理”属性紧密联系，比如MAC地址、服务器身份识别和IP地址等等，而这些在虚拟机中不能起到作用。另外企业的安全工作人员和虚拟机管理员一般不会在一起工作，无法共同设计并实施高效安全的虚拟化底层架构，这让事情变得更糟。

结果是hypervisor和虚拟层终将受到损害。hypervisor不像我们听到的那么神奇，它也只是软件，没有任何软件不会出现错误或漏洞。从51CTO.com以往的报道可以看出，安全减缓服务器虚拟化发展已经成为了现实。

企业可能会给自己带来漏洞。同一台物理主机上的虚拟机可以相互通讯，而防火墙和入侵检测系统无法检查它们之间传送的数据。如果攻击者占领了一台虚拟机，就可以用它作为基地来入侵同一台服务器上的其他虚拟机。

无意之间，敏感的企业数据可能就会处在危险之中。比如虚拟机的转移经常会自动化完成，这可能会让一些带有企业数据库的虚拟机转移到不安全的物理服务器。还有为快速测试网络服务器而建立的一些没有补丁也未经监测的虚拟实例可能会与关键的虚拟机存在于同一虚拟局域网中，这就为渗透攻击带来了机会。51CTO.com曾经提醒过您，如果您的单位使用了服务器虚拟化技术，我们作为IT管理者，经常想的一个问题就是如何维护好虚拟化环境的健康与安全?

安全专家和虚拟化管理员要对付的问题有一长串。业界也认识到服务器虚拟化安全问题关系重大，而且可能压制虚拟化的发展，因此也正在着力采取步骤，使虚拟机间和虚拟机内部的数据交通变得更加可见，更加安全。

其中名声最响的努力来自于VMware，它的ESX hypervisor统治了服务器虚拟化市场。VMware在2008年春天宣布推出VMsafe项目，提供一套在hypervisor层和监测层运行的安全API，安全厂商可以通过API监测虚拟世界的所有活动并执行安全政策。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友