虚拟化的安全到底怎么样

管理虚拟机散乱现象

据信息技术研究集团的Sloan声称，使用虚拟机的其中一个最大好处就是，虚拟机与底层硬件更加隔离开来。他说：“如果虚拟机受到了病毒感染，或者遭到了某种方式的恶意攻击，造成的危害可以减小到最低程度，因为很容易隔绝这个虚拟机，并且终止运行。”

Sloan表示，但是尽管虚拟机本身可能更具有弹性，但是安全监控和管理工作对运行关键任务的虚拟机来说仍必不可少。他说：“从总体上来看，管理就应当这样；如果你没有为虚拟机落实相应的策略或者程序，就会面临更大的风险。你一定要有足够完善的安全管理，才能跟踪及管理虚拟机。”

现在大多数人都会认同这一点：很难闯入物理数据中心、窃取大批数据。但是你有没有想过这一幕：攻击者不用步入你的数据中心，只要创建虚拟机，就可以用它来访问敏感数据？Haletky说，很可能你不会知道发生了这种事。

他说：“如果你采用虚拟化技术，安全性并没有因此而增强，实际上反而减弱了。另一个重要原因就是你现在面临虚拟机散乱（VM sprawl）现象。”

今年年初Verizon Business公司撰写的一份最新报告发现，27%的攻击来自意料之外的系统连接；10%来自以不合适的权限访问系统。

“管理员不知道有机器存在，”Haletky说，“有了虚拟化技术，新的虚拟机极其容易部署到环境里面；如果不加以控制、治理或者核实，那么这种容易部署虚拟机的优点反而会带来安全问题。”

Haletky表示，除非公司落实了合适的审计机制，否则要是有人未经授权在公司网络上创建虚拟机，数据中心就会继续容易受到这些公司不知道存在的虚拟机的攻击。他表示，IT管理员的解决办法就是，采用某一种工作流审批流程，对系统进行监控及审计。

Haletky说：“目前，虚拟化安全离不开一大批审计机制；你需要审计、需要获得报告，还需要接到通知。如果你在这些方面都做得很到位，就完全具有领先优势。”不过强大审计机制面临的最大障碍却是这个事实：目前市面上还没有一款优秀的工具。

Haletky说：“现在其实没有工具可以告诉你已经添加了一个新的虚拟机，你得自己去查看。如果使用VMware ESXi，你可以在虚拟机运行的时候接到报警；还能收到反映这个情况的电子邮件。但是你其实得不到表明虚拟机在做什么的任何信息。”

Haletky说，要关注的不仅仅是网络安全。如今现有的三大安全监控指导原则（包括VMware、CISecurity和DISA/STIG的指导原则）都不是太深入，没有为期望把ESX服务器审计和监控机制付诸实践的用户提供启动脚本。他表示，这些指导原则概述了需要审计的部分内容，但远远不够全面。

据Haletky声称，另一个固有的问题就是，大多数虚拟化管理员完全从网络的角度来看待虚拟安全。Haletky说：“保护虚拟环境不仅仅包括服务控制台、管理设备和网络；还包括存储、备份、灾难恢复和业务连续性等方面，它几乎包括每个方面，而每个特定方面都有相应工具。”

他又说，虚拟机的攻击面变得越来越大，全人们根本没有认识到这一点。“把虚拟机放在虚拟服务器里面――不管你使用的是哪家厂商的技术，这并不会为你带来足够的保护。网络安全对你大有帮助，但我不敢肯定光有网络安全就够了。”

如果你找不到或者请不起虚拟化安全专家来帮你入手，专家们建议公司只要找一名了解虚拟化技术的安全技术人员。对大多数公司来说，这归结为先进行风险分析，然后最终确定自己需要哪种监控流程。

他说：“如果你看一看外面针对虚拟服务器应用部署的许多设计方案，就会发现设计方案中根本没有提到安全。他们说，我们要部署虚拟化技术；我们要节省成本、减少散热，但他们就是没有说我们要确保安全。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友