【51CTO.com快譯自8月17日外電頭條】服務(wù)器虛擬化橫掃了數(shù)據(jù)中心，但有個(gè)事實(shí)卻讓人心寒，那就是人們?cè)谠O(shè)計(jì)、測(cè)試或部署服務(wù)器虛擬化的過程中很少考慮到安全性。這個(gè)問題事關(guān)重大，因?yàn)槲锢硎澜缰械膫鹘y(tǒng)安全策略和做法在虛擬世界中完全不同。

虛擬化安全需要防衛(wèi)的槍

物理世界的安全往往與“物理”屬性緊密聯(lián)系，比如MAC地址、服務(wù)器身份識(shí)別和IP地址等等，而這些在虛擬機(jī)中不能起到作用。另外企業(yè)的安全工作人員和虛擬機(jī)管理員一般不會(huì)在一起工作，無法共同設(shè)計(jì)并實(shí)施高效安全的虛擬化底層架構(gòu)，這讓事情變得更糟。

結(jié)果是hypervisor和虛擬層終將受到損害。hypervisor不像我們聽到的那么神奇，它也只是軟件，沒有任何軟件不會(huì)出現(xiàn)錯(cuò)誤或漏洞。從51CTO.com以往的報(bào)道可以看出，安全減緩服務(wù)器虛擬化發(fā)展已經(jīng)成為了現(xiàn)實(shí)。

企業(yè)可能會(huì)給自己帶來漏洞。同一臺(tái)物理主機(jī)上的虛擬機(jī)可以相互通訊，而防火墻和入侵檢測(cè)系統(tǒng)無法檢查它們之間傳送的數(shù)據(jù)。如果攻擊者占領(lǐng)了一臺(tái)虛擬機(jī)，就可以用它作為基地來入侵同一臺(tái)服務(wù)器上的其他虛擬機(jī)。

無意之間，敏感的企業(yè)數(shù)據(jù)可能就會(huì)處在危險(xiǎn)之中。比如虛擬機(jī)的轉(zhuǎn)移經(jīng)常會(huì)自動(dòng)化完成，這可能會(huì)讓一些帶有企業(yè)數(shù)據(jù)庫的虛擬機(jī)轉(zhuǎn)移到不安全的物理服務(wù)器。還有為快速測(cè)試網(wǎng)絡(luò)服務(wù)器而建立的一些沒有補(bǔ)丁也未經(jīng)監(jiān)測(cè)的虛擬實(shí)例可能會(huì)與關(guān)鍵的虛擬機(jī)存在于同一虛擬局域網(wǎng)中，這就為滲透攻擊帶來了機(jī)會(huì)。51CTO.com曾經(jīng)提醒過您，如果您的單位使用了服務(wù)器虛擬化技術(shù)，我們作為IT管理者，經(jīng)常想的一個(gè)問題就是如何維護(hù)好虛擬化環(huán)境的健康與安全？

安全專家和虛擬化管理員要對(duì)付的問題有一長串。業(yè)界也認(rèn)識(shí)到服務(wù)器虛擬化安全問題關(guān)系重大，而且可能壓制虛擬化的發(fā)展，因此也正在著力采取步驟，使虛擬機(jī)間和虛擬機(jī)內(nèi)部的數(shù)據(jù)交通變得更加可見，更加安全。

其中名聲最響的努力來自于VMware，它的ESX hypervisor統(tǒng)治了服務(wù)器虛擬化市場(chǎng)。VMware在2008年春天宣布推出VMsafe項(xiàng)目，提供一套在hypervisor層和監(jiān)測(cè)層運(yùn)行的安全API，安全廠商可以通過API監(jiān)測(cè)虛擬世界的所有活動(dòng)并執(zhí)行安全政策。

虛擬化安全，大家都有槍

許多創(chuàng)業(yè)公司和規(guī)模較小的廠商最早采用了VMsafe，比如Altor Networks、Catbird Networks和Reflex Security，它們使用API提供了各種虛擬化安全產(chǎn)品。

例如，上個(gè)月Altor發(fā)布了新版本的Altor VF軟件，使用VMsafe的API在hypervisor內(nèi)部運(yùn)行防火墻模塊，這樣所有的流量在到達(dá)虛擬機(jī)之前都要通過Altor的防火墻。這使安全策略更加嚴(yán)格，為安全專家和管理員提供了一個(gè)監(jiān)測(cè)層。

今年3月份，Catbird發(fā)布了VMShield 2.0，為虛擬機(jī)創(chuàng)造安全區(qū)域通過比如拒絕虛擬機(jī)與面向網(wǎng)絡(luò)服務(wù)器的應(yīng)用相連接。軟件的最新版本添加了跟蹤功能，管理員可以在物理服務(wù)器之間遷移虛擬機(jī)時(shí)確保各項(xiàng)安全策略。

而傳統(tǒng)的大供應(yīng)商則在接受VMsafe時(shí)顯得動(dòng)作比較慢。例如RSA今年展示了基于VMsafe的概念產(chǎn)品，集成了數(shù)據(jù)丟失防護(hù)、用戶訪問驗(yàn)證和其他功能。不過至少要到明年RSA才會(huì)推出這個(gè)產(chǎn)品。

虛擬化安全，各廠商亮劍出槍

VMware并沒有把虛擬化安全的工作完全留給第三方廠商（實(shí)際上，就在不久之前，VMware還推出了新產(chǎn)品 提升數(shù)據(jù)中心安全性）。VMware的vShield Zones也提供了類似Catbird的功能。vShield允許企業(yè)在VMware環(huán)境中創(chuàng)建邏輯隔離，理想的消除了主機(jī)和虛擬機(jī)集群的物理隔離問題。增加的管理層功能有助于限制虛擬機(jī)的遷移，防止出現(xiàn)不符合遵從性的虛擬或物理設(shè)定。

此外，VMware最近還收購了專業(yè)的虛擬化安全企業(yè)Blue Lane Technologies。通過建立自己的一系列安全產(chǎn)品以及通過VMsafe幫助第三方提供安全底層架構(gòu)建設(shè)，VMware正在尋求實(shí)現(xiàn)全面的安全環(huán)境。

當(dāng)然，VMware的行動(dòng)也招來了一些爭(zhēng)議，尤其是來自競(jìng)爭(zhēng)對(duì)手。比如Citrix的首席技術(shù)官Simon Crosby，這位喜歡直話直說的開源倡導(dǎo)者認(rèn)為私有化的VMsafe API并不是企業(yè)的好選擇，他認(rèn)為更開放的社區(qū)模式會(huì)更好，這樣能夠更好的搜索代碼中的缺陷和漏洞。同樣是提供虛擬化安全API，Crosby認(rèn)為Citrix建立的開源Xen社區(qū)做的要更好些（51CTO.com提醒關(guān)注Citrix虛擬化技術(shù)方面的朋友請(qǐng)參閱：Citrix虛擬化動(dòng)態(tài)遷移技術(shù)XenMotion介紹）。

Citrix也在努力為其XenServer hypervisor提供更多的安全功能（51CTO.com提醒您參閱：Citrix將發(fā)布Citrix Essentials免費(fèi)版本）。隨著6月份發(fā)布XenServer，Citrix的hypervisor基本做到了與VMware ESX旗鼓相當(dāng)。同時(shí)，微軟和最近被Oracle收購的Virtual Iron也正在努力縮小與VMware和Citrix的差距。

對(duì)于企業(yè)來說，最好是在虛擬化的提議一開始就將各方人員集合在一起，包括安全、底層架構(gòu)與虛擬機(jī)的管理員?？赡軙?huì)出現(xiàn)激烈的摩擦，但是企業(yè)虛擬化的部署必須要求安全與可擴(kuò)展的底層架構(gòu)，要做到這點(diǎn)，相關(guān)的各方必須攜起手來共同工作。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Strategic Security: Server Virtualization 作者：Joe Hernick

【編輯推薦】

1. 虛擬化技術(shù)帶來的安全挑戰(zhàn)
2. 虛擬化技術(shù)是雙刃劍 保證安全是關(guān)鍵
3. 虛擬IDC應(yīng)借鑒傳統(tǒng)IDC安全防范手段