誰之功補虛擬機安全之“過”?
Gartner的分析師Neil MacDonald在一份研究報告中指出,60%的虛擬化服務器的安全性低于物理服務器,這種狀況將持續到2012年。如今,虛擬化技術的普及率越來越高。Gartner預計,2012年全球將有超過一半的工作負載被虛擬化。如果不能有效解決虛擬機的安全性問題,那么安全性問題很可能成為虛擬化應用最大的絆腳石。
安全漏洞并不可怕
虛擬機的安全漏洞到底有多大?McAfee Avert Labs的David Marcus表示:“如果你有能力攻擊一個虛擬機,并且能夠進入虛擬機之外的主操作系統,那么就完全可以控制服務器中的全部虛擬機。”
2009年5月,網絡上曾經曝光,VMware虛擬化軟件的Mac版本Fusion中存在一個嚴重的安全漏洞。別有用心的人可以利用該漏洞,通過Windows虛擬機在Mac主機上執行惡意代碼。幸好,VMware很快就發布了Fusion 2.0.4,修復了該漏洞。虛擬機生命周期管理方案提供商Embotics的營銷副總裁David Lynch曾表示:“在虛擬機的安全性方面,黑客肯定是有機可乘的。如果你參加過像黑帽大會這樣的技術安全大會,就會發現虛擬化技術已經成為熱議的話題。很多人在關注這個領域。”
2010年3月,據國外網站報道,核心安全科技公司(Core Security Technologies)發出警告,微軟Virtual PC中存在一個未被修復的安全漏洞。黑客通過該漏洞可以成功繞過數據執行保護(DEP)、地址空間隨機化布局(ASLD)等安全機制,對虛擬機發起攻擊。此安全漏洞涉及微軟Windows Virtual PC、Virtual PC 2007和Virtual Server 2005,所幸Hyper-V不受影響。
從目前情況看,針對虛擬機的攻擊已經不再是紙上談兵,而是確確實實發生了。一些虛擬化方案提供商、安全廠商反饋,虛擬環境的安全問題確實存在,而且針對虛擬機的攻擊和安全漏洞不斷涌現。企業用戶必須對那些針對虛擬機的安全威脅提高警惕。
讓人擔心的是,越來越多針對虛擬機的安全威脅并沒有引起廣大企業管理者足夠的重視。很多人在部署虛擬化技術的時候,將主要精力放在提高設備利用率、降低成本等方面,而忽視了安全問題。
“與其他軟件一樣,x86虛擬化平臺軟件不可能沒有安全漏洞。VMware、Citrix和微軟等虛擬化平臺軟件廠商在近幾年都發現了各自平臺的漏洞。”戴爾大中華區大型企業事業部首席架構顧問陳進坤表示,“發現安全漏洞后,只要及時打補丁和升級,用戶的主機就不會受到攻擊。舉例來說,ESX等系統管理程序已經通過加拿大通信安全部(CSEC)通用標準評估與認證方案(CCS)的驗證,獲得了EAL4+級通用標準認證。EAL4+級是《共同準則互認協定(CCRA)》認可的最高安全級別。”
趨勢科技認為,虛擬機確實存在安全漏洞。但是,用戶只要及時做好針對虛擬機的補丁管理工作,就不會有太大問題。
惠普公司認為,既然虛擬機是被打包好的文件系統,并且基于標準的平臺,那么安全漏洞就是不可避免的。但是,用戶如果能揚長避短,充分發揮虛擬服務器的靈活性、可靠性和共享性,那么就能獲得事半功倍的效果。這也是虛擬化技術如今能夠成為市場主流的重要原因。
在記者采訪的多家虛擬化軟件廠商、安全廠商和服務商中,萬國數據服務有限公司(GDS)副總裁張權的觀點頗具代表性。他認為:“安全問題是IT 業界長期存在的一個問題。它不取決于架構是物理的還是虛擬的,平臺是x86的還是Unix的,或者應用以何種形式存在。虛擬化技術的出現具有劃時代的意義。它能夠降低成本,節能增效,提高資源利用水平和資源配置的靈活性,提升業務連續性水平。作為一種新出現的技術,虛擬機面臨著與傳統物理服務器架構一樣的安全問題,如網絡、訪問控制、數據加密、操作系統和應用等方面的問題。”
解決虛擬機的安全性問題,不能僅依靠虛擬化軟件廠商,而是需要操作系統、應用、網絡、安全等廠商共同努力。IT管理者還要提高安全防范意識。
#p#
事在人為
Gartner的研究報告指出,虛擬機的安全性低并不是因為虛擬化技術本身不安全,而是因為缺乏相關的管理工具,應用流程不成熟,企業員工和經銷商缺乏有效的培訓等。
VMware公司大中華區技術總監張振倫指出,實際上,多數的安全風險來自于實際使用的過程中,而并非虛擬化技術本身的問題。經過專門的審計和管理控制,完全可以避免虛擬機的安全風險。AstroArch咨詢公司創始人Haletky認為:“與虛擬化相關的最大安全問題是,很多用戶不知道自己在做什么。為了有效解決虛擬機的安全性問題,虛擬化應用管理員必須學習更多的知識。”
張振倫歸納出虛擬機面臨的主要安全風險:第一,虛擬化層的妥協可能導致所有托管工作負載的標準降低;第二,內部虛擬網絡上的虛擬機之間的通信缺乏可見性和控制力,使得當前的安全策略增強機制喪失效力;第三,在沒有被充分隔離的情況下,不同信任級別的工作負載被整合到一個單獨的物理服務器上;第四,Hypervisor/VMM層和可管理工具的訪問管理缺乏可控性;第五,網絡和安全控制職責的隔離存在不足。
其實,技術的問題只是一方面,為了保護虛擬機的安全,更重要的是在人和應用方面下功夫。Gartner研究發現,40%的虛擬化應用在最初的規劃和設計階段,根本沒有考慮安全因素。Gartner建議,安全管理流程應擴展到虛擬化管理程序和虛擬機監視器等方面。
許多系統管理員缺乏有效保護虛擬化環境的專業知識。虛擬化技術的出現模糊了IT人員的角色與職責。例如,在虛擬機泛濫而管理員又不知情的情況下,后端存儲的性能很容易出現瓶頸。
“虛擬化正在改變傳統的服務器配置流程。用戶需要建立一個全新的框架,避免出現虛擬機泛濫等問題,進而解決隱藏的安全問題。許多早期部署的虛擬基礎設施,并沒有采用最佳的基礎設施架構部署策略。”陳進坤表示,“用戶應該避免為虛擬化而虛擬化的思維定式,將注意力放在人員、流程和技術的無縫整合上,進而創造一個高效、高安全性的企業基礎架構平臺。”
“無論是物理環境還是虛擬環境,出現安全問題的原因都一樣,即技術和管理方面的問題。”張權認為,虛擬化應用成功的關鍵是三分技術、七分管理,“僅僅依靠技術手段,只能治標不能治本,只有結合安全的運維管理,才可以做到標本兼治。”
張權歸納出虛擬機在管理方面存在的主要問題:第一,安全組織設置和崗位職責不明確;第二,安全風險管控不到位;第三,日常安全運行與維護缺乏有效性;第四,應用系統安全管理有疏漏;第五,災備管理不專業;第六,企業缺乏內部與針對第三方人員的安全管理規范;第七,企業沒有進行必要的安全教育培訓。
惠普認為,安全問題在每個環節都有可能發生,關鍵在于如何創建有效的流程,通過高效的軟件工具監控虛擬機的運營,從而避免問題出現。
隨著業務的不斷增長,企業用戶如果不對虛擬環境進行合理控制和管理,很容易出現虛擬機泛濫的情況。虛擬機的泛濫不僅增加了管理的負擔,而且造成了現有資源的浪費。惠普融合基礎設計架構不僅能通過統一、高效的管理,合理分配現有資源,回收數據中心空閑容量,而且能幫助用戶將孤島式的IT架構轉變成池化的,從而實現資源的共享,在提高資源利用率的同時大幅提高IT部門的生產力,使IT部門成為驅動業務發展的核心動力。
【編輯推薦】
