1.摘要

在IT和網絡世界，虛擬化已在短時間內產生了巨大的影響，并已經提供了巨大的成本節省和高投資回報率的數據中心、企業和云計算。從安全角度，對于虛擬化和虛擬化環境似乎是缺乏實質性和滯后的理解。一些人認為虛擬化比傳統環境更加安全，因為他們聽說過虛擬機之間的隔離，卻沒有聽說過任何關于虛擬機管理程序的成功攻擊。另外一些人認為，新的虛擬化環境需要像傳統的物理環境一樣需要安全，因此需要在適當的位置應用持續有效的安全加固方法。但是新的環境更加復雜，并且虛擬環境加入到現網環境創建一個新的網絡時，需要一種新的安全的方法。這就包括傳統的安全以及虛擬化方面的安全。本文簡述了識別由虛擬化引起的差異、問題、挑戰、風險等等。并期待為客戶提供良好的建議和最佳實踐以保證當虛擬環境加入到現網環境時與原來一樣安全。

2.介紹

盡管這是一個可以追溯到五十多年前的概念，但是在目前及未來，該項技術在應用程序方面仍將成長與發展。實際上，當今一半的服務器運行在虛擬機上。1、到2014年，70%的工作負載運行在虛擬機上。2、我們需要跟上技術的進步，并且需要廣泛部署安全的虛擬化組件和虛擬化環境。讓我們看看那些目前由虛擬化帶來的效益。

3.虛擬化帶來的安全好處

以下是引入虛擬化環境的一些好處：

在虛擬化環境中，采用集中存儲來防止數據丟失，如設備丟失、竊取及重要數據被破壞。

當虛擬機和應用程序被正確隔離時，在一個操作系統只有一個應用程序會受到攻擊的影響。

當配置正確時，虛擬環境提供了靈活性，它允許系統不必分享那些至關重要的信息。

如果一個虛擬機被感染，它可以回滾到被攻擊前的一個安全狀態。

因為硬件設備及數據中心的減少，使虛擬化提高了物理安全性。

桌面虛擬化的部署可以更好的控制用戶環境。一個管理員可以創建并控制一個“鏡像”，并向下發送到用戶的計算機。該技術提供了更好的系統給控制，以保證滿足組織的安全策略需求。

服務器虛擬化可以帶來更好的事故處理，因為服務器可以恢復到以前的狀態，以便審查之前和攻擊期間發生了什么。

系統和網絡管理的訪問控制以及職責分離可以被改善，通過只分配給特定個人控制虛擬環境內部網絡，而其他人處理在DMZ區的虛擬機。例如你能有特定的管理員處理Windows服務器，而另一些人處理Linux服務器。

虛擬機管理軟件比較小并且不復雜。它提供了很小的攻擊面，程序以很小的攻擊面運行，減少了潛在的脆弱性。

請注意，我們已經描述了上述的一些好處，如“如果配置或設置不當”。虛擬化是非常復雜的，所

以它必須是正確的，以保證獲得上述優勢。

4.虛擬化面臨的安全挑戰、風險和問題

現在我們已經看到了虛擬化的一些優勢，下面讓我們一起來看看一些挑戰、風險和問題。

4.1主客之間的文件共享

當使用文件共享時，一個有問題的客體可以訪問主機的文件系統，并修改用于共享的目錄。

當剪貼板共享和拖拽被用于主客機時，或者當應用程序編程接口被用于編程，在這些領域的穩定性漏洞可以最終影響整個基礎設施。

4.2快照

當快照被恢復時，你所做的任何對配置的更改將丟失。如果你改變了安全策略，一些東西是可以當下訪問的。審計日志也可能消失，這可能消除你在服務器上進行更改的任何記錄。這些不幸的結果很難滿足合規性的要求的。

圖像和快照包含的專有數據像個人身份信息和密碼，更像一個物理硬盤驅動器。任何不必要的或者更多的圖像真的是引起關注令人擔憂的，因為任何快照的存儲可能含有未被發現的惡意軟件在重新加載的時候會造嚴重的破壞。

4.3網絡存儲

光纖通道和iSCSI是明文協議，并可能會受到這方面的中間人攻擊。嗅探工具可用于讀出或記錄存儲流量，并可以被攻擊者重現。

這往往是一個光纖通道的性能和安全之間的權衡，加密可以在主機總線適配器用于光纖通道實現，但由于可能會發生的負面問題而不能多次被使用。

4.4虛擬機管理程序(Hypervisor)

如果Hypervisor被攻破，所有連接的虛擬機也將受到影響，并且默認的Hypervisor配置中并不總是最安全的。

Hypervisor控制一切，并提供在虛擬環境中的單點故障。一個單一的缺口可以把整個環境處于危險之中。

在Hypervisor的一個管理員可以做任何事(“所有王國的鑰匙”)。在Hypervisor通常有密碼設置，但這些很容易被管理員之間共享，這樣你就不會真正知道誰做了什么。

Hypervisor可以允許虛擬機彼此之間溝通，這種溝通甚至不會加入物理網絡，這最終表現得像一個私有網絡的虛擬機。這個流量并不能總是被看到，因為由虛擬機管理程序進行，并且你不能保證這是否安全。