“虛擬化并不是天生就是不安全的，然而，很多虛擬化的工作負(fù)載正在被不安全地部署，”Gartner研究公司分析師Neil MacDonald表示。

對(duì)虛擬化項(xiàng)目進(jìn)行規(guī)劃通常都應(yīng)該包括信息安全團(tuán)隊(duì)，但是根據(jù)Gartner公司的調(diào)查數(shù)據(jù)顯示，40%的虛擬化項(xiàng)目的初步架構(gòu)和規(guī)劃階段是在沒有安全團(tuán)隊(duì)的參與下進(jìn)行的。

因?yàn)橄到y(tǒng)管理程序?qū)λ性谖锢矸?wù)器上運(yùn)行的工作負(fù)載進(jìn)行監(jiān)管，因此管理程序受到攻擊的話，可能會(huì)導(dǎo)致所有托管的工作負(fù)載的破壞，MacDonald表示。在傳統(tǒng)的架構(gòu)中，對(duì)一臺(tái)服務(wù)器的威脅只會(huì)對(duì)一部分工作負(fù)載帶來(lái)風(fēng)險(xiǎn)，但是在虛擬化數(shù)據(jù)中心卻不只是這樣。

管理程序本身同樣也可能成為攻擊對(duì)象。例如，Vmware正在修復(fù)其自身的虛擬化架構(gòu)來(lái)去掉基于Linux的服務(wù)控制臺(tái)以將攻擊面從2GB減少到100MB。

雖然這是一種改進(jìn)，但用戶們?nèi)匀挥泻芏喟踩珕?wèn)題需要考慮。Gartner公司建議，從安全和管理角度，將虛擬化平臺(tái)當(dāng)作是你的數(shù)據(jù)中心內(nèi)最重要的IT平臺(tái)

Gartner 建議，IT部門需要建立關(guān)于不同信任級(jí)別的工作負(fù)載整合的政策，并且在評(píng)估新安全和管理工具時(shí)，選擇那些在物理環(huán)境和虛擬環(huán)境擁有相同管理、政策和報(bào)告標(biāo)準(zhǔn)的工具。

IT部門必須關(guān)注安裝在管理程序?qū)拥乃写a的漏洞情況，包括驅(qū)動(dòng)器、插件和第三方工具等，保持所有這些的最新更新以及補(bǔ)丁修復(fù)。

即使當(dāng)虛擬化層與之前的物理架構(gòu)一樣安全，提供更多的虛擬機(jī)的趨勢(shì)意味著你的足跡擴(kuò)大，也就是安全風(fēng)險(xiǎn)擴(kuò)大。

Turner正在尋找一些系統(tǒng)管理工具，例如Cfengine、Puppet Labs和Chef，來(lái)將檢查補(bǔ)丁修復(fù)、移除舊的用戶帳戶和確保配置文件沒有被篡改的程序自動(dòng)化。

即使是相對(duì)簡(jiǎn)單的工作，例如運(yùn)行殺毒軟件，在系統(tǒng)被虛擬化后，都可能變得更加復(fù)雜。

Harper指出，他的工作人員必須手動(dòng)更改所有Windows Server每周掃描的時(shí)間，因?yàn)榉駝t會(huì)立即造成過(guò)高的I/O負(fù)載。

Harper表示，客戶既需要新產(chǎn)品，也需要防止虛擬化出現(xiàn)問(wèn)題的程序，因?yàn)閷⑻摂M機(jī)當(dāng)作裸金屬機(jī)來(lái)管理根本行不通。

不過(guò)，Harper和Sabre公司的高級(jí)IT專家Jim Brewster對(duì)于虛擬世界的安全性都感到十分樂(lè)觀。對(duì)安全區(qū)域的物理分隔被基于軟件的安全區(qū)取代，虛擬化管理工具可能會(huì)讓搗亂的IT管理員難以改變系統(tǒng)，在不對(duì)他們的行為進(jìn)行日志記錄的情況下。

微軟和Vmware一直都在爭(zhēng)論在操作系統(tǒng)中保留多少進(jìn)程以及多少進(jìn)程應(yīng)該推到系統(tǒng)管理程序?qū)拥膯?wèn)題，但是Brewster表示，期待更多的安全功能轉(zhuǎn)移到管理程序?qū)印?/p>

“我覺得對(duì)于虛擬空間正在發(fā)生的事情有更好的能見度和更多的控制將是件好事，”Brewster表示。

原文出處：http://safe.it168.com/a2010/1218/1139/000001139819.shtml

【編輯推薦】

1. 虛擬化技術(shù)是如何來(lái)保障瀏覽器安全的
2. 企業(yè)虛擬化發(fā)展中的虛擬“安全”