BeyondTrust公司發現，許多企業過于信賴虛擬化技術廠商以尋求保護。

據近日發布的一項調查聲稱，雖然許多企業熱衷于對系統運行進行虛擬化處理，但是這股熱情并沒有蔓延到采用良好的安全做法上。

在參與安全廠商BeyondTrust調查的346名管理員當中，近一半(42%)聲稱，他們沒有經常使用任何安全工具，作為運行虛擬系統的一個環節;一半以上(57%)承認，他們使用現有的映像模板來制作新的虛擬映像。

此外，近三分之二(64%)的調查對象聲稱，所在企業沒有部署在發布新的映像或模板之前要求安全審批的任何控制措施。

BeyondTrust公司的產品營銷高級主管Michael Yaffe表示，創建新的虛擬映像時不安全的做法是普遍出現在管理員當中的一個系統性問題。他告訴媒體：“當這些人克隆映像時，我們發現他們實際上使整個企業的模板長期存在安全漏洞。”

他繼續說，除非在復制之前對那些模板進行了安全方面的盡職調查工作，否則重大的安全缺陷就有可能擴散到整個企業。“雖然VMware是一款幫助企業提高工作效率的出色工具，但如果你事先沒有做好應有的盡職調查工作，它會帶來相當大的安全風險——這歸因于其規模和范圍以及人們能夠使用它。”

BeyondTrust的項目管理高級主管Morey Haber解釋，因骯臟的模板而擴散的安全漏洞可能出現在虛擬機上的訪客操作系統，也可能出現在虛擬軟件本身里面。

與發布調查結果的同時，BeyondTrust還發布了面向VMware vCenter的一個新插件，可以在現有的VMware控制臺里面為虛擬機管理員提供安全漏洞方面的信息。該工具為控制臺增添了一個選項卡，可以顯示所有運行中虛擬機的安全漏洞和安全風險。

Haber說：“如果管理員克隆一個機器或回滾恢復快照，那些機器帶來的安全風險就會出現在管理員面前。管理員就可以做出決策，決定應該開啟虛擬機、關閉虛擬機還是任其保留狀態。”

如果企業必須遵守支付卡行業數據安全標準(PCI)和《健康可攜性及責任性法案》(HIPAA)之類的合規法則，這項功能特別重要。Haber說：“當你需要遵守任何這些監管要求時，不該啟用安全漏洞已存在了30天以上的機器。”

他補充說：“我們的技術讓你可以在那些儀表板上以近乎實時的方式查看那些數據，那樣你就能進行合理的評估了。”

Simon Crosby是虛擬機環境安全軟件開發商Bromium公司的首席技術官兼聯合創始人，他表示，雖然這項調查的結果令人關注，但是它們遠遠談不上令人震驚。他在接受采訪時說：“很顯然，虛擬化徹底改變了操作做法;令人遺憾的是，安全做法滯后于管理虛擬基礎設施的操作做法。”

他補充說，雪上加霜的是，傳統的安全工具在虛擬機環境下效果不是很好。

他繼續說，此外，系統操作人員認為，從某種角度來看，虛擬化為他們的環境提供了物理機環境所沒有的安全性。他說：“由于虛擬機隱藏在數據中心里面，他們認為自己更安全了。實則不然。”

他補充說，安全廠商們在背后助長了這種觀點。他說：“我感到非常擔憂的是，安全行業采用的語言絕對不可信。每一家安全廠商都承諾很安全，其實它們都在撒謊。”

他繼續說：“每一款產品聽起來都一個樣，它們都可以讓你安全無虞?？墒菦]有一款產品能說到做到。”