如何緩解企業虛擬化系統中的安全風險?
“虛擬化并不是天生就是不安全的,然而,很多虛擬化的工作負載正在被不安全地部署,”Gartner研究公司分析師Neil MacDonald表示。
對虛擬化項目進行規劃通常都應該包括信息安全團隊,但是根據Gartner公司的調查數據顯示,40%的虛擬化項目的初步架構和規劃階段是在沒有安全團隊的參與下進行的。
因為系統管理程序對所有在物理服務器上運行的工作負載進行監管,因此管理程序受到攻擊的話,可能會導致所有托管的工作負載的破壞,MacDonald表示。在傳統的架構中,對一臺服務器的威脅只會對一部分工作負載帶來風險,但是在虛擬化數據中心卻不只是這樣。
管理程序本身同樣也可能成為攻擊對象。例如,Vmware正在修復其自身的虛擬化架構來去掉基于Linux的服務控制臺以將攻擊面從2GB減少到100MB。
雖然這是一種改進,但用戶們仍然有很多安全問題需要考慮。Gartner公司建議,從安全和管理角度,將虛擬化平臺當作是你的數據中心內最重要的IT平臺
Gartner 建議,IT部門需要建立關于不同信任級別的工作負載整合的政策,并且在評估新安全和管理工具時,選擇那些在物理環境和虛擬環境擁有相同管理、政策和報告標準的工具。
IT部門必須關注安裝在管理程序層的所有代碼的漏洞情況,包括驅動器、插件和第三方工具等,保持所有這些的最新更新以及補丁修復。
即使當虛擬化層與之前的物理架構一樣安全,提供更多的虛擬機的趨勢意味著你的足跡擴大,也就是安全風險擴大。
Turner正在尋找一些系統管理工具,例如Cfengine、Puppet Labs和Chef,來將檢查補丁修復、移除舊的用戶帳戶和確保配置文件沒有被篡改的程序自動化。
即使是相對簡單的工作,例如運行殺毒軟件,在系統被虛擬化后,都可能變得更加復雜。
Harper指出,他的工作人員必須手動更改所有Windows Server每周掃描的時間,因為否則會立即造成過高的I/O負載。
Harper表示,客戶既需要新產品,也需要防止虛擬化出現問題的程序,因為將虛擬機當作裸金屬機來管理根本行不通。
不過,Harper和Sabre公司的高級IT專家Jim Brewster對于虛擬世界的安全性都感到十分樂觀。對安全區域的物理分隔被基于軟件的安全區取代,虛擬化管理工具可能會讓搗亂的IT管理員難以改變系統,在不對他們的行為進行日志記錄的情況下。
微軟和Vmware一直都在爭論在操作系統中保留多少進程以及多少進程應該推到系統管理程序層的問題,但是Brewster表示,期待更多的安全功能轉移到管理程序層。
“我覺得對于虛擬空間正在發生的事情有更好的能見度和更多的控制將是件好事,”Brewster表示。
原文出處:http://safe.it168.com/a2010/1218/1139/000001139819.shtml
【編輯推薦】
