誰之功補虛擬機安全之“過”？

2010-06-21 21:41:26

云計算

虛擬化 Gartner預計，2012年全球?qū)⒂谐^一半的工作負載被虛擬化。如果不能有效解決虛擬機的安全性問題，那么安全性問題很可能成為虛擬化應用最大的絆腳石。

創(chuàng)新互聯(lián)建站長期為上千余家客戶提供的網(wǎng)站建設服務，團隊從業(yè)經(jīng)驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為船營企業(yè)提供專業(yè)的網(wǎng)站建設、成都網(wǎng)站設計，船營網(wǎng)站改版等技術服務。擁有10多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

Gartner的分析師Neil MacDonald在一份研究報告中指出，60%的虛擬化服務器的安全性低于物理服務器，這種狀況將持續(xù)到2012年。如今，虛擬化技術的普及率越來越高。Gartner預計，2012年全球?qū)⒂谐^一半的工作負載被虛擬化。如果不能有效解決虛擬機的安全性問題，那么安全性問題很可能成為虛擬化應用最大的絆腳石。

安全漏洞并不可怕

虛擬機的安全漏洞到底有多大？McAfee Avert Labs的David Marcus表示：“如果你有能力攻擊一個虛擬機，并且能夠進入虛擬機之外的主操作系統(tǒng)，那么就完全可以控制服務器中的全部虛擬機?！?/p>

2009年5月，網(wǎng)絡上曾經(jīng)曝光，VMware虛擬化軟件的Mac版本Fusion中存在一個嚴重的安全漏洞。別有用心的人可以利用該漏洞，通過windows虛擬機在Mac主機上執(zhí)行惡意代碼。幸好，VMware很快就發(fā)布了Fusion 2.0.4，修復了該漏洞。虛擬機生命周期管理方案提供商Embotics的營銷副總裁David Lynch曾表示：“在虛擬機的安全性方面，黑客肯定是有機可乘的。如果你參加過像黑帽大會這樣的技術安全大會，就會發(fā)現(xiàn)虛擬化技術已經(jīng)成為熱議的話題。很多人在關注這個領域?！?/p>

2010年3月，據(jù)國外網(wǎng)站報道，核心安全科技公司(Core Security Technologies)發(fā)出警告，微軟Virtual PC中存在一個未被修復的安全漏洞。黑客通過該漏洞可以成功繞過數(shù)據(jù)執(zhí)行保護(DEP)、地址空間隨機化布局(ASLD)等安全機制，對虛擬機發(fā)起攻擊。此安全漏洞涉及微軟Windows Virtual PC、Virtual PC 2007和Virtual server 2005，所幸Hyper-V不受影響。

從目前情況看，針對虛擬機的攻擊已經(jīng)不再是紙上談兵，而是確確實實發(fā)生了。一些虛擬化方案提供商、安全廠商反饋，虛擬環(huán)境的安全問題確實存在，而且針對虛擬機的攻擊和安全漏洞不斷涌現(xiàn)。企業(yè)用戶必須對那些針對虛擬機的安全威脅提高警惕。

讓人擔心的是，越來越多針對虛擬機的安全威脅并沒有引起廣大企業(yè)管理者足夠的重視。很多人在部署虛擬化技術的時候，將主要精力放在提高設備利用率、降低成本等方面，而忽視了安全問題。

“與其他軟件一樣，x86虛擬化平臺軟件不可能沒有安全漏洞。VMware、Citrix和微軟等虛擬化平臺軟件廠商在近幾年都發(fā)現(xiàn)了各自平臺的漏洞?！贝鳡柎笾腥A區(qū)大型企業(yè)事業(yè)部首席架構顧問陳進坤表示，“發(fā)現(xiàn)安全漏洞后，只要及時打補丁和升級，用戶的主機就不會受到攻擊。舉例來說，ESX等系統(tǒng)管理程序已經(jīng)通過加拿大通信安全部(CSEC)通用標準評估與認證方案(CCS)的驗證，獲得了EAL4+級通用標準認證。EAL4+級是《共同準則互認協(xié)定(CCRA)》認可的最高安全級別?！?/p>

趨勢科技認為，虛擬機確實存在安全漏洞。但是，用戶只要及時做好針對虛擬機的補丁管理工作，就不會有太大問題。

惠普公司認為，既然虛擬機是被打包好的文件系統(tǒng)，并且基于標準的平臺，那么安全漏洞就是不可避免的。但是，用戶如果能揚長避短，充分發(fā)揮虛擬服務器的靈活性、可靠性和共享性，那么就能獲得事半功倍的效果。這也是虛擬化技術如今能夠成為市場主流的重要原因。

在記者采訪的多家虛擬化軟件廠商、安全廠商和服務商中，萬國數(shù)據(jù)服務有限公司(GDS)副總裁張權的觀點頗具代表性。他認為：“安全問題是IT 業(yè)界長期存在的一個問題。它不取決于架構是物理的還是虛擬的，平臺是x86的還是Unix的，或者應用以何種形式存在。虛擬化技術的出現(xiàn)具有劃時代的意義。它能夠降低成本，節(jié)能增效，提高資源利用水平和資源配置的靈活性，提升業(yè)務連續(xù)性水平。作為一種新出現(xiàn)的技術，虛擬機面臨著與傳統(tǒng)物理服務器架構一樣的安全問題，如網(wǎng)絡、訪問控制、數(shù)據(jù)加密、操作系統(tǒng)和應用等方面的問題?！?/p>

解決虛擬機的安全性問題，不能僅依靠虛擬化軟件廠商，而是需要操作系統(tǒng)、應用、網(wǎng)絡、安全等廠商共同努力。IT管理者還要提高安全防范意識。

#p#

事在人為

Gartner的研究報告指出，虛擬機的安全性低并不是因為虛擬化技術本身不安全，而是因為缺乏相關的管理工具，應用流程不成熟，企業(yè)員工和經(jīng)銷商缺乏有效的培訓等。

VMware公司大中華區(qū)技術總監(jiān)張振倫指出，實際上，多數(shù)的安全風險來自于實際使用的過程中，而并非虛擬化技術本身的問題。經(jīng)過專門的審計和管理控制，完全可以避免虛擬機的安全風險。AstroArch咨詢公司創(chuàng)始人Haletky認為：“與虛擬化相關的最大安全問題是，很多用戶不知道自己在做什么。為了有效解決虛擬機的安全性問題，虛擬化應用管理員必須學習更多的知識?！?/p>

張振倫歸納出虛擬機面臨的主要安全風險：第一，虛擬化層的妥協(xié)可能導致所有托管工作負載的標準降低；第二，內(nèi)部虛擬網(wǎng)絡上的虛擬機之間的通信缺乏可見性和控制力，使得當前的安全策略增強機制喪失效力；第三，在沒有被充分隔離的情況下，不同信任級別的工作負載被整合到一個單獨的物理服務器上；第四，Hypervisor/VMM層和可管理工具的訪問管理缺乏可控性；第五，網(wǎng)絡和安全控制職責的隔離存在不足。

其實，技術的問題只是一方面，為了保護虛擬機的安全，更重要的是在人和應用方面下功夫。Gartner研究發(fā)現(xiàn)，40%的虛擬化應用在最初的規(guī)劃和設計階段，根本沒有考慮安全因素。Gartner建議，安全管理流程應擴展到虛擬化管理程序和虛擬機監(jiān)視器等方面。

許多系統(tǒng)管理員缺乏有效保護虛擬化環(huán)境的專業(yè)知識。虛擬化技術的出現(xiàn)模糊了IT人員的角色與職責。例如，在虛擬機泛濫而管理員又不知情的情況下，后端存儲的性能很容易出現(xiàn)瓶頸。

“虛擬化正在改變傳統(tǒng)的服務器配置流程。用戶需要建立一個全新的框架，避免出現(xiàn)虛擬機泛濫等問題，進而解決隱藏的安全問題。許多早期部署的虛擬基礎設施，并沒有采用最佳的基礎設施架構部署策略?！标愡M坤表示，“用戶應該避免為虛擬化而虛擬化的思維定式，將注意力放在人員、流程和技術的無縫整合上，進而創(chuàng)造一個高效、高安全性的企業(yè)基礎架構平臺?！?/p>

“無論是物理環(huán)境還是虛擬環(huán)境，出現(xiàn)安全問題的原因都一樣，即技術和管理方面的問題。”張權認為，虛擬化應用成功的關鍵是三分技術、七分管理，“僅僅依靠技術手段，只能治標不能治本，只有結(jié)合安全的運維管理，才可以做到標本兼治。”

張權歸納出虛擬機在管理方面存在的主要問題：第一，安全組織設置和崗位職責不明確；第二，安全風險管控不到位；第三，日常安全運行與維護缺乏有效性；第四，應用系統(tǒng)安全管理有疏漏；第五，災備管理不專業(yè)；第六，企業(yè)缺乏內(nèi)部與針對第三方人員的安全管理規(guī)范；第七，企業(yè)沒有進行必要的安全教育培訓。

惠普認為，安全問題在每個環(huán)節(jié)都有可能發(fā)生，關鍵在于如何創(chuàng)建有效的流程，通過高效的軟件工具監(jiān)控虛擬機的運營，從而避免問題出現(xiàn)。

隨著業(yè)務的不斷增長，企業(yè)用戶如果不對虛擬環(huán)境進行合理控制和管理，很容易出現(xiàn)虛擬機泛濫的情況。虛擬機的泛濫不僅增加了管理的負擔，而且造成了現(xiàn)有資源的浪費?；萜杖诤匣A設計架構不僅能通過統(tǒng)一、高效的管理，合理分配現(xiàn)有資源，回收數(shù)據(jù)中心空閑容量，而且能幫助用戶將孤島式的IT架構轉(zhuǎn)變成池化的，從而實現(xiàn)資源的共享，在提高資源利用率的同時大幅提高IT部門的生產(chǎn)力，使IT部門成為驅(qū)動業(yè)務發(fā)展的核心動力。

【編輯推薦】

1. 突然，你的虛擬機消失了……
2. 虛擬機備份問題：緩沖區(qū)、恢復和裸機
3. 細數(shù)用于虛擬機遷移的轉(zhuǎn)換工具

當前題目：誰之功補虛擬機安全之“過”？
網(wǎng)頁路徑：http://www.dlmjj.cn/article/dpgcose.html