虛擬化安全問題目前仍然是個不確定的目標(biāo)，相關(guān)專家仍在爭論實現(xiàn)虛擬化安全的途徑和新技術(shù)來試圖填補(bǔ)該方面的差距。最近在舊金山舉行的RSA安全大會上，人們對虛擬化的安全表現(xiàn)出了非常高的興趣。分析人士說，當(dāng)然，不同的IT部門處在虛擬化問題上都有不同的關(guān)注點，一些部門仍在從老的物理角度來考慮安全性。

IDC安全產(chǎn)品項目經(jīng)理Phil Hochmuth說：“如何在虛擬化的服務(wù)器上實現(xiàn)安全性仍存在很多問題。”

據(jù)Gartner公司2010年11月的一份報告說，到2012年，運(yùn)行在企業(yè)數(shù)據(jù)中心的所有工作負(fù)載中的一半將運(yùn)行在虛擬化的平臺上，這包括虛擬化服務(wù)器或云平臺;到2015年，控制企業(yè)內(nèi)部數(shù)據(jù)中心的安全軟件中，40%的部分將完全虛擬化。

這份報告的共同作者、Gartner Fellow副總裁Neil MacDonald指出，由于虛擬機(jī)更難按地理、IP或MAC地址定義，因此入侵檢測等基本安全工具不適合虛擬機(jī)(VM)，并且外部軟件很難看到或過濾運(yùn)行在一臺物理機(jī)上的虛擬機(jī)之間的通信。

Hochmuth說，在使用現(xiàn)有的大多數(shù)工具時，IT部門甚至難以了解某臺服務(wù)器上的多少VM打了最新的補(bǔ)丁。

以下是一些在為環(huán)境制定計劃時需要考慮的虛擬化安全問題：

1.速度慢的服務(wù)器就安全了嗎?

正如在物理服務(wù)器上一樣，添加安全軟件會增加工作負(fù)載，消耗資源，降低性能。虛擬化的服務(wù)器相比物理服務(wù)器來說，能夠以更高的效率來利用資源，但這并不意味著一眼就能看到在何處、如何實施安全措施。

Hochmuth說：“這聽起來很初級，但是仍存在很多爭議：是在每個虛擬機(jī)中安裝代理程序來保護(hù)它們的安全更好，還是說這樣做會消耗太多的資源，而認(rèn)為使用某種可以監(jiān)視一組VM的工具更好。”

在一臺4核處理器的服務(wù)器中的所有30個VM中的每一個VM上運(yùn)行代理程序，你的開銷相當(dāng)于運(yùn)行安全軟件的30個副本，因為這樣做就是在同時運(yùn)行30個安全軟件。

另一種辦法是：在物理服務(wù)器上運(yùn)行可以監(jiān)視所有VM和它們的操作系統(tǒng)的一個軟件。這種辦法從概念上講很完美，但是可能不太安全，或者可能達(dá)不到那種高效率的安全性。

Hochmuth在對比了幾家廠商產(chǎn)品的影響后，建議了一種“真正實際的概念證明”。他說，即使測試沒告訴你一點安全性如何的信息，“它也會告訴你哪些產(chǎn)品造成了運(yùn)行中的某種工作負(fù)載性能下降到了你不能接受的程度。”

2.你應(yīng)當(dāng)讓VM在不使用加密技術(shù)的情況下相互通信嗎?

據(jù)安全測試/分析機(jī)構(gòu)Sarrell Group安全經(jīng)理Matt Sarrell說，虛擬化服務(wù)器不僅僅意味著能夠把多個操作系統(tǒng)集成到一臺機(jī)器中，它意味著在這臺機(jī)器中建立一個網(wǎng)絡(luò)，這臺機(jī)器中的所有VM能通過這個網(wǎng)絡(luò)相互通信，并能與運(yùn)行在其他服務(wù)器上的應(yīng)用，以及Internet進(jìn)行通信。

據(jù)Sarrell說，促進(jìn)在虛擬環(huán)境中采用加密技術(shù)的主要動力，來自于那些需要能夠按照HIPAA或其他隱私管理規(guī)定證明其良好的數(shù)據(jù)監(jiān)護(hù)鏈的機(jī)構(gòu)。

同樣的加密技術(shù)可以幫助鎖住會感染數(shù)據(jù)中心中運(yùn)行的VM或系統(tǒng)的惡意軟件，即使一個VM受感染，仍能保護(hù)其余VM安全無恙。

Hochmuth說，往來于公有或私有云中VM的加密數(shù)據(jù)流，還可以進(jìn)一步加固隔在公有云中相鄰VM之間的大門。

他說：“共享服務(wù)器公共云就像是生活在一棟公寓樓中，因此你是否安全可能取決于你的鄰居的行為有多安全。加密你的VM和數(shù)據(jù)可以使這種情況變得更安全一些，但也會受到性能下降的風(fēng)險。”

3.你知道誰或什么程序在請求數(shù)據(jù)嗎?

據(jù)IDC企業(yè)虛擬化軟件部研究經(jīng)理Gary Chen說，與MAC或IP地址緊密相聯(lián)的安全策略，在相關(guān)實體是虛擬時會變得效果不佳。

據(jù)Gartner的MacDonald說，當(dāng)應(yīng)用運(yùn)行在虛擬機(jī)中時，安全設(shè)備必須考慮到誰想訪問、他們想訪問什么、何時何地訪問，以及他們是從什么設(shè)備而來。

只有在這種背景下，安全策略會比緊緊地鎖定敏感數(shù)據(jù)更有效，除非在辦公室中使用安全訪問的新雇員或未經(jīng)培訓(xùn)的雇員決定通過未加密的WiFi網(wǎng)絡(luò)將數(shù)據(jù)下載到不安全的便攜機(jī)，這種情況是個例外。

Hochmuth說，一個公有云或私有云中的虛擬機(jī)之間應(yīng)當(dāng)能夠執(zhí)行同樣水平的安全策略，要能夠根據(jù)請求數(shù)據(jù)的環(huán)境而不是發(fā)出請求的MAC或IP地址來執(zhí)行安全策略。

4.你仔細(xì)檢查過VM之間的地帶嗎?

Chen說，運(yùn)行虛擬服務(wù)器意味著運(yùn)行額外的操作系統(tǒng)—VMware的vSphere、Citrix的Xenserver或Microsoft的Windows Server 2008—這些操作系統(tǒng)會受到黑客或針對VM或系統(tǒng)管理程序的惡意軟件的攻擊。

Chen說，惡意軟件不僅能通過與Internet的連接向虛擬機(jī)傳播，而且一旦感染防火墻內(nèi)或物理服務(wù)器內(nèi)的一個VM后(尤其當(dāng)VM被設(shè)置為使它們能相互訪問的支持故障切換或災(zāi)難恢復(fù)功能時)，會在VM之間傳播。Hochmuth說，即使虛擬化軟件拆除服務(wù)器之間的高墻讓它們可以共享空間、數(shù)據(jù)或工作負(fù)載之后，數(shù)據(jù)加密或采用身份保護(hù)措施也可以在服務(wù)器之間重建這個高墻來保護(hù)數(shù)據(jù)安全。

NIST對上述基本問題的觀點

據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)日前發(fā)布的有關(guān)虛擬化安全的指導(dǎo)說，正如物理服務(wù)器那樣，虛擬服務(wù)器必須根據(jù)機(jī)構(gòu)規(guī)定的安全水平規(guī)則來打補(bǔ)丁、配置和維護(hù)，讓馬虎或不一致性不會給整個安全努力造成不利的影響。

NIST指導(dǎo)方針概要

1.如保護(hù)操作系統(tǒng)那樣，保護(hù)系統(tǒng)管理程序的安全;如果系統(tǒng)管理程序的作用如操作系統(tǒng)那樣，它就會像操作系統(tǒng)那樣容易受到攻擊。系統(tǒng)管理程序中的漏洞使運(yùn)行在它上面的一切變得容易受到攻擊。

2.確立一致的指導(dǎo)方針來配置虛擬機(jī)和物理機(jī)的安全性，并在確立指導(dǎo)方針后，建立檢驗指導(dǎo)方針的流程。

3.將修補(bǔ)和脆弱性管理流程覆蓋到物理機(jī)的同時，要擴(kuò)展到虛擬機(jī)。

虛擬化是指計算機(jī)元件在虛擬的基礎(chǔ)上而不是真實的基礎(chǔ)上運(yùn)行。虛擬化技術(shù)可以相互獨立的空間內(nèi)運(yùn)行而互不影響，從而顯著提高計算機(jī)的工作效率。通過以上的闡述，希望大家已經(jīng)掌握虛擬化的內(nèi)容。
 

【編輯推薦】

1. 企業(yè)虛擬化發(fā)展中的虛擬“安全”
2. 虛擬化技術(shù)的五大應(yīng)用環(huán)境不得不看
3. 虛擬化+終端管理 實現(xiàn)便捷維護(hù)及高安全