【51CTO.com快譯】多年來，人們對(duì)虛擬化環(huán)境的安全性一直很擔(dān)心。許多人錯(cuò)誤的認(rèn)為，僅僅因?yàn)榄h(huán)境是虛擬化的，那么理所當(dāng)然也就不會(huì)那么牢靠。實(shí)際情況并非如此。虛擬環(huán)境和物理環(huán)境大體上是一樣的，都會(huì)遭受相同的安全問題的困擾。

與此同時(shí)，也有來自不同陣營的觀點(diǎn)認(rèn)為，虛擬化環(huán)境的出現(xiàn)大幅度提高了安全性，甚至從根本上改變了安全性的理念。事實(shí)當(dāng)然也并非如此。

虛擬化確實(shí)帶來了變化，新增的hypervisor層（相關(guān)知識(shí)可參見“服務(wù)器虛擬化之三大技術(shù)完全破析”）也帶來了新的安全問題，但都并不是什么翻天覆地的變化。就像在一個(gè)環(huán)境中添加任何新的組件一樣——架構(gòu)師和系統(tǒng)工程師們需要正確教育自己，學(xué)習(xí)新的組件，然后在實(shí)施時(shí)做出徹底的規(guī)劃?！聦?shí)上，51CTO.com也一直在介紹這方面的情況，并推出了“打造安全的虛擬化環(huán)境”技術(shù)專題。

為了了解更多有關(guān)虛擬化的安全問題，我找到了一個(gè)知名而且健談的安全專家，Edward L. Haletky，他是AstroArch咨詢公司的總裁，一位DABCC分析師，還是VMware的社區(qū)專家，而且出版過許多部作品。以下是我們的對(duì)話摘錄：

記者：在安裝VMware VI3時(shí)，最常見的安全性錯(cuò)誤是什么？

Edward Haletky：那就是使用單層虛擬網(wǎng)絡(luò)（flat virtual network），因?yàn)檫@不能解決安全區(qū)域之間的差異問題。

記者：即將到來的VMware vSphere 4（51CTO.com編者注，VMware vSphere 4在4月下旬剛剛發(fā)布，VMware宣稱這是業(yè)內(nèi)首個(gè)云操作系統(tǒng)。）能夠有效的解決安全問題嗎，特別是那些VMware VI3沒能解決的問題？

Haletky：會(huì)有一些。VMsafe將使安全工具更加有效。然而，雖然不能說全部的功能改進(jìn)，但大多數(shù)的功能改進(jìn)都會(huì)增加受攻擊的表面積。

記者：那么你怎么看待新的VMsafe API？它會(huì)給我們帶來什么樣的變化呢？

Haletky：VMsafe將從根本上改變虛擬化的安全性，現(xiàn)在你可以通過它來建造工具，可以從中看到完整的虛擬主機(jī)。比如，原先管理虛擬網(wǎng)絡(luò)時(shí)每三個(gè)虛擬交換機(jī)就需要一個(gè)代理，現(xiàn)在則變成每臺(tái)VMware ESX/ESXi主機(jī)需要一個(gè)代理。然而，使用VMsafe應(yīng)用也會(huì)增加攻擊表面積，因?yàn)槟阈枰堰\(yùn)行代理的虛擬設(shè)備包括進(jìn)來。因此，在虛擬機(jī)上使用單層虛擬網(wǎng)絡(luò)是絕對(duì)不應(yīng)該再繼續(xù)的了。

記者：關(guān)于Catbird等第三方解決方案，你的看法是什么？還有VMware收購Blue Lane Technologies后將為我們帶來什么呢？

Haletky：我認(rèn)為所有這些第三方工具比如Catbird的V-Security和Reflex System的vTrust等等將會(huì)與VMware的vShield Zones有一番激烈的競爭。它們?cè)诤芏喾矫孀龅牟畈欢?，Zones整合得更好一些，但這兩個(gè)第三方工具目前提供的功能要遠(yuǎn)遠(yuǎn)超過Zones。[此前51CTO.com曾經(jīng)報(bào)道，VMware將向其VDC-OS平臺(tái)中增加vShield Zones安全服務(wù)，讓企業(yè)用戶可以在他們自己的數(shù)據(jù)中心內(nèi)創(chuàng)建所謂的“內(nèi)部”云環(huán)境。這與傳統(tǒng)IT基礎(chǔ)架構(gòu)中的隔離區(qū)有些類似，只不是這是基于虛擬機(jī)而不是物理設(shè)備的。]

記者：VMware的ESXi似乎更安全，因?yàn)樗摹澳_印（footprint）”比較小。這是真的嗎，還是ESXi會(huì)和VI3有同樣多的安全問題？另外安全問題的類型一樣嗎？人們似乎還是對(duì)ESXi更放心一些？

Haletky：我認(rèn)為VMware ESXi和ESX碰到的安全問題是一樣的。虛擬化的安全性方案不應(yīng)僅僅是讓虛擬主機(jī)變得更強(qiáng)壯而已。即便如此，許多人還是錯(cuò)誤的認(rèn)為VMware ESXi更安全些。另外大多數(shù)人把ESXi當(dāng)作一個(gè)設(shè)備，他們只是按照VMware的推薦來做一兩件事以提高安全性，但并不理會(huì)它的管理或訪問方式。此外，我相信，大多數(shù)人都會(huì)啟用ESXi的SSH功能。當(dāng)他們這樣做的時(shí)候，實(shí)際上丟失了真正的安全性，因?yàn)镋SXi內(nèi)部并沒有深度防御。

記者：你能否告訴我們，你所認(rèn)為的與VMware有關(guān)的最重要的兩個(gè)或三個(gè)安全問題，而且是人們可能不知道的？

Haletky：第一個(gè)問題我剛才說過，就是使用單層虛擬網(wǎng)絡(luò)，而不是尋求更強(qiáng)大的保護(hù)措施。而這在使用VMsafe vApps時(shí)是十分必要的。

另一個(gè)情況是許多人錯(cuò)誤的把自己的ESX主機(jī)服務(wù)控制臺(tái)和管理工具放在了防火墻的不同的兩邊。如果這樣做的話，實(shí)際上就已經(jīng)開放了許多不必要的端口。正確的做法是，他們應(yīng)該把ESX管理控制臺(tái)和vCenter工具放在防火墻的同一側(cè)，并且限制只有一個(gè)協(xié)議可以訪問，比如加密的RDP協(xié)議。管理員應(yīng)該以這種方式來訪問虛擬機(jī)和管理工具。

最后一個(gè)較常見的安全問題是不使用網(wǎng)絡(luò)/虛擬主機(jī)（network/virtualization host）的部署方式，這種安排可以阻止零日攻擊。錯(cuò)誤的做法是直接部署到生產(chǎn)環(huán)境，這樣的話如果操作出錯(cuò)，或者刪除了虛擬機(jī)，還是會(huì)有東西遺留在硬盤上。

記者：你認(rèn)為VMware的hypervisor與競爭對(duì)手如Xen和Hyper-V相比，它的安全性是更高還是更低，或者差不多？

Haletky：這是一個(gè)很難回答的問題。hypervisor可能會(huì)更安全，但更關(guān)鍵是它周圍的東西是不是更安全。和VI3相比，由于納入了VMsafe和VMDirectPath，VMware vSphere 4的攻擊表面積也會(huì)變大。然而對(duì)于Xen和Hyper-V來說，它們也具有不同的攻擊表面積，彼此類似但是彼此不同。所以說hypervisor并不是最關(guān)鍵的，關(guān)鍵在于那些直接或間接的接觸到虛擬主機(jī)的東西。

記者：我們知道你有一本有關(guān)虛擬化的書很快就會(huì)出版。你要說些什么事情，書的重點(diǎn)是什么？

Haletky：書的名字叫做“VMware vSphere和虛擬底層架構(gòu)的安全性：確保ESX和虛擬環(huán)境的安全”，內(nèi)容就是關(guān)于所有這些直接或間接接觸的虛擬主機(jī)的東西，還有構(gòu)成虛擬環(huán)境的這些組件。是的，書中會(huì)講到怎樣讓ESX和ESXi變得更強(qiáng)壯，但不止這些，還會(huì)涉及到儲(chǔ)存、運(yùn)算、管理、VDI、forensic等方面。這些方面在以前經(jīng)常被排除在虛擬化管理的范圍之外，但現(xiàn)在安全性的視角已經(jīng)擴(kuò)大，所有這些方面都應(yīng)該包括進(jìn)來，因?yàn)樗鼈兛隙〞?huì)影響到虛擬主機(jī)的安全性。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Top security concerns in a virtualization environment  作者：David Marshall

【編輯推薦】

1. 專題：如何打造安全的虛擬環(huán)境
2. 觀點(diǎn)：迄今為止虛擬化安全領(lǐng)域一片空白
3. 五措施堵住虛擬化安全漏洞