部署虛擬化后的安全問題
接受虛擬化的用戶通常都將虛擬化作為企業計算的福音。虛擬化能將分散的服務器和數據庫進行整合以此來提供更加經濟高效的運營方式。在虛擬機上運行整合過的計算機還能節省讓閑置服務器和數據處理硬件系統運行所消耗的電力浪費。
然而虛擬的計算環境也還會導致意想不到的安全問題。舉例來說,虛擬化有時會繞過依靠硬件連接才能發揮作用的網絡安全標準。另一個潛在的安全隱患在于某些虛擬機具備逃避安全監管的能力。因此安全網絡掃描通常會遺漏那些并不安全的虛擬服務器,因為他們要必須在掃描過程中運行才能被發現。
虛擬機的靈活性也會導致安全死角。虛擬機能隨時創建:因為他們可以被下載到桌面系統上,駐留在內存中,這樣他們就離開了物理安全監管的范圍。
托管服務廠商BlackMesh公司的首席信息官Eric Mandel表示"部署虛擬化,系統可以像他們運行的本地系統一樣安全。應用虛擬化背后的想法是在一臺物理機上創建多重系統映像。在本地系統中適用的安全概念同樣也適用于虛擬映像,除了自己的系統要被鎖定外。而這些是任何環境下都必須考慮的安全風險"。
真的隔離了嗎?
從理論上來說,虛擬環境中運行的計算處理與在同樣物理硬件上運行的其他虛擬機是隔離開來的。每個虛擬機實例都能存儲在物理硬盤中,關機和攜帶都能保持持續性隔離和安全性。但是在實踐過程中,安全問題卻并不那么簡單。
Mandel解釋說,虛擬機是由自身的系統來定義的。每臺物理機中只存在一種自己的系統,但是許多虛擬機的創建都是在同樣的系統下運行的。
一旦虛擬機被定義完成,它就作為自己的實例來運行,這個實例可能有權也可能無權訪問其他虛擬機的資源,諸如虛擬硬盤,CD/DVD光驅,磁帶等。這就意味著每個虛擬機都能在同樣的物理機上與其他的虛擬機隔離開來獨立完成。然而這種環境也可能創建的時候就允許虛擬機共享這些同樣的資源。
Mandel表示"在這種情況下,一個虛擬實例會傳染共享數據,繼而又影響到共享同樣資源的其他虛擬機。自己的系統和這個問題是無關的,因為它擁有獨立的硬盤,只有它自己才能訪問"。
Mandel警告說,對一臺物理服務器上托管的多重虛擬機最普遍也最真實的影響是虛擬實例對系統資源的爭奪。磁盤輸入/輸出,隨機存取存儲器和中央處理器單元都是被一臺物理機上托管的多重虛擬機過度使用的系統資源。
缺乏信服
并非所有追捧虛擬化技術的倡導者都同意虛擬化的應用會帶來新的安全隱患這種說法。虛擬軟件廠商也在致力于相關工具的研發來阻止這種安全問題的產生。
Untangle是專門提供開源網絡網關應用工具的廠商,他們的首席技術官德克.莫里斯表示"我們聽說過這種擔憂。我們認為并不存在這種真實的虛擬安全漏洞,虛擬機的風險與他的優勢相比幾乎等同于沒有風險。
莫里斯還補充說,Untangle公司也對自己的數據中心部署了虛擬機,還沒有遇到過任何麻煩。他的公司在一種虛擬機使用了20種不同的服務器。
"它也沒有改變備份規則"莫里斯強調說"虛擬化會帶來安全問題,但目前我們還沒有看到"。
差異的存在
不過虛擬化如果和其他計算單元混合使用就會帶來不安全因素。通常來說,虛擬化廠商都會鼓吹他們的產品不存在安全隱患。
Secure Computing公司負責全球技術戰略的副總裁斯科特.蒙哥馬利表示"虛擬化并不會給安全帶來任何附件負擔,它在節約制冷成本等方面表現極為突出,但虛擬化并非萬能鑰匙,也無法解決我們的所有問題。虛擬機也不會讓安全問題減少,它只是讓它看起來與眾不同。VMware就曾宣稱他們的產品增加了安全性,但我沒想那么遠"。
蒙哥馬利表示,舉例來說讓虛擬機脫機一個月。當它重新聯機時所有的安全措施都過期了。這是一個專門針對虛擬化的問題,你怎么為過期的證書打補丁呢?多數廠商目前都沒有這種工具。
其他擔憂
虛擬化安全始終是業界討論的熱點。正面和反面的觀點一直都在繼續。
Core Security公司的產品管理副總裁Fred Pinkett表示"硬性配置防火墻,如今虛擬機環境中的所有系統都在討論這個問題。產品目前在虛擬化中可以加以控制。增加安全層和新分界會給虛擬機全新的安全保障"。
人們一般很少聽說設計虛擬機的數據泄露,但是這并不意味著沒有這種可能。
總結
蒙哥馬利警告說,令人緊張的是虛擬化讓物理平臺上的許多數據被遷移。這使得虛擬化能訪問所有的平臺。在同一個位置上的數據庫和網絡服務器都存在潛在風險。幾乎沒有那家廠商談到過這些問題。
訪問服務器應用軟件和數據變得更加容易。如果一種遭遇風險,那么其他的也會受到牽連,這是個交叉性問題。
安全廠商堅持認為應該對網絡上的虛擬機環境特別對待來插入隱藏的缺口。這些解決方案可能都無法通過虛擬軟件制造商來提供,必須有第三方廠商的介入。
Stonesoft公司的資深解決方案架構師Kim Lassila表示"我認為讓人們了解風險對于虛擬機和物理機都是同樣存在的,這很關鍵。如果不應用虛擬安全解決方案,就很難保護虛擬環境"。
他補充說,沒有樹立正確意識的用戶會在沒有防火墻保護的情況下將物理企業網絡聯接到因特網上。虛擬環境也同樣如此。"虛擬平臺上的服務器,桌面系統和其他工作負載和他們在物理環境中面臨的風險是一樣的。這是因為操作系統和應用軟件都是一樣的"。
黑客的誘惑
令Lassila擔憂的另外一個問題是虛擬化存在受黑客攻擊的隱患。有關虛擬化的兩個因素涉及這個問題。
一個是某些用戶存在虛擬化平臺能創建安全的虛擬服務器,桌面系統或網絡這種誤解。按照這種思維,管理員就認為沒必要為此而擔憂。
第二個因素是虛擬網絡并不實際。因此管理員不能從屋里上將網絡分析器連接到虛擬網絡上看到流量。
Lassila表示"這樣如果沒有針對虛擬環境而特別設計的安全解決方案的幫助,要想實現對虛擬網絡流量的監控,監管和控制就變得非常困難"。
【編輯推薦】
