Gartner的安全和基礎(chǔ)設(shè)施安全分析師NeilMacDonald說(shuō)，并不是虛擬服務(wù)機(jī)沒(méi)有物理服務(wù)器安全。虛擬機(jī)在許多方面比單獨(dú)的服務(wù)器更安全，因?yàn)樘摂M機(jī)隔離性更好并且依靠一個(gè)主機(jī)服務(wù)器。許多虛擬機(jī)放在一臺(tái)物理服務(wù)器上的物理安全問(wèn)題比每個(gè)虛擬機(jī)分別放在單獨(dú)的硬件上更簡(jiǎn)單。

 

MacDonald稱，這些虛擬服務(wù)器中的每一個(gè)虛擬機(jī)仍是一個(gè)單獨(dú)的服務(wù)器。每一個(gè)虛擬機(jī)都有自己的操作系統(tǒng)和配置。這個(gè)設(shè)置也許是、也許不是根據(jù)母公司規(guī)定的標(biāo)準(zhǔn)設(shè)置的。每一個(gè)虛擬機(jī)必須要像非虛擬機(jī)一樣使用補(bǔ)丁和維護(hù)以便及時(shí)修復(fù)潛在的安全漏洞。但是，這樣做會(huì)更復(fù)雜。

 

據(jù)位于科羅拉多州Loveland的信貸報(bào)告和金融服務(wù)機(jī)構(gòu)Kroll FactualData的主要技術(shù)設(shè)計(jì)師ChrisSteffen說(shuō)，從理論說(shuō)，攻擊者有可能專門攻擊管理程序?qū)樱蛘呖刂埔粋�(gè)虛擬機(jī)并利用它攻擊其它的虛擬機(jī)。然而，這種事情在自然環(huán)境中還從來(lái)沒(méi)有發(fā)生過(guò)。因此，這個(gè)威脅暫時(shí)還是理論上的。

 

Steffen說(shuō)，你可能還會(huì)遇到專門攻擊你的服務(wù)器中BIOS芯片的病毒。但是，我們還沒(méi)有看到太多的BIOS病毒。

 

Steffen和MacDonald都認(rèn)為，虛擬機(jī)的最大問(wèn)題是IT或者安全經(jīng)理因?yàn)椴荒茉诔霈F(xiàn)風(fēng)險(xiǎn)的時(shí)候及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)而失去對(duì)虛擬機(jī)的控制。

 

美國(guó)國(guó)家安全局不僅從內(nèi)心擔(dān)心這個(gè)問(wèn)題，而且還把這個(gè)問(wèn)題帶到了軟件開(kāi)發(fā)實(shí)驗(yàn)室，提出了一個(gè)名為“NetTop”的虛擬化服務(wù)器管理方案。這個(gè)方案要求虛擬服務(wù)器的配置要防止在同一臺(tái)服務(wù)器上運(yùn)行的虛擬機(jī)相互干擾。但是，它沒(méi)有解決所有的潛在的配置問(wèn)題。不過(guò)，這個(gè)方案確實(shí)把一個(gè)具體技術(shù)層中的所有的安全流程和開(kāi)發(fā)流程都集中在了一起。

 

MacDonald說(shuō)，大多數(shù)公司不需要這種層次的保護(hù)。這種層次的保護(hù)是為那些在海外服役的特種部隊(duì)設(shè)計(jì)的。但是，大多數(shù)企業(yè)確實(shí)有許多緊迫的安全問(wèn)題，有些問(wèn)題他們還沒(méi)有認(rèn)識(shí)到，或者不完全理解。那是一個(gè)根本的問(wèn)題。

 

下面是目前人們最擔(dān)心的服務(wù)器虛擬化的五大安全問(wèn)題：

 

1.管理失敗和責(zé)任

 

MacDonald說(shuō)，虛擬服務(wù)器的主要問(wèn)題是責(zé)任。與物理服務(wù)器不同，物理服務(wù)器是數(shù)據(jù)中心或者IT經(jīng)理直接負(fù)責(zé)的，而虛擬服務(wù)器經(jīng)常被人們遺忘。應(yīng)該要求業(yè)務(wù)部門配置虛擬機(jī)并且保證其安全嗎?IT經(jīng)理應(yīng)該更接近物理主機(jī)嗎?一個(gè)集中的主系統(tǒng)管理員應(yīng)該負(fù)責(zé)一個(gè)企業(yè)的全部虛擬化資產(chǎn)嗎?

 

MacDonald說(shuō)，人們不理解這個(gè)問(wèn)題：當(dāng)你增加虛擬服務(wù)器的時(shí)候，除了應(yīng)用程序、操作系統(tǒng)和硬件之外，你又增加了另一層技術(shù)。你必須要保證它的安全。

 

2.補(bǔ)丁與管理

 

缺少責(zé)任可能出現(xiàn)的最明顯的風(fēng)險(xiǎn)是跟不上為企業(yè)的每一個(gè)虛擬機(jī)使用補(bǔ)丁、維護(hù)和保證安全的不斷的、勞動(dòng)密集型的流程。與虛擬機(jī)所處的物理服務(wù)器不同，物理服務(wù)器是由IT經(jīng)理推出和配置的，IT經(jīng)理還安裝了最新的補(bǔ)丁。而虛擬機(jī)是由幾個(gè)星期或者幾個(gè)月之前創(chuàng)建、設(shè)置和使用補(bǔ)丁的服務(wù)器鏡像創(chuàng)建的。

 

MacDonald說(shuō)，大多數(shù)企業(yè)都保持少量的通用的“黃金”鏡像，從這些鏡像推出或者重新推出用于許多用途的新的虛擬機(jī)。但是，在經(jīng)過(guò)辛苦的設(shè)置支持具體的應(yīng)用程序或者業(yè)務(wù)需求之后，大多數(shù)企業(yè)會(huì)把數(shù)十個(gè)或者數(shù)百個(gè)服務(wù)器鏡像存儲(chǔ)在DVD或者硬盤上。

 

MacDonald說(shuō)，你可以對(duì)虛擬機(jī)拍一個(gè)快照，把這個(gè)虛擬機(jī)寫入硬盤，這樣，你下一次就不用創(chuàng)建同樣的虛擬機(jī)，并且可以利用這個(gè)虛擬機(jī)進(jìn)行災(zāi)難恢復(fù)。在需要時(shí)，就推出在離線庫(kù)中存儲(chǔ)的許多虛擬機(jī)中的一個(gè)虛擬機(jī)即可。但是，大部分虛擬機(jī)都沒(méi)有最新的殺毒軟件特征和補(bǔ)丁。有些人在推出虛擬機(jī)的時(shí)候應(yīng)該對(duì)虛擬機(jī)進(jìn)行檢查。但是，有些人經(jīng)常不檢查，通常也沒(méi)有進(jìn)行檢查的方法。

 

微軟和VMware都用自己的基本基礎(chǔ)設(shè)施產(chǎn)品提供了補(bǔ)丁管理的時(shí)間表。這兩家公司都需要把磁盤鏡像存儲(chǔ)在庫(kù)中，以便定期地發(fā)布，這樣它們就能夠使用補(bǔ)丁。

 

然而，對(duì)于擁有數(shù)百個(gè)虛擬機(jī)鏡像的庫(kù)的企業(yè)來(lái)說(shuō)，這是一個(gè)繁重的流程。這個(gè)流程沒(méi)有解決正在運(yùn)行的虛擬機(jī)的補(bǔ)丁狀態(tài)問(wèn)題，或者在幾個(gè)星期或者幾個(gè)月的時(shí)間里安裝新的病毒特征的問(wèn)題。當(dāng)然，VMware、惠普和許多新興企業(yè)現(xiàn)在都使用管理產(chǎn)品設(shè)法幫助IT實(shí)現(xiàn)大都數(shù)工作的自動(dòng)化。

 

3.可見(jiàn)性和遵守法規(guī)

 

虛擬服務(wù)器的設(shè)計(jì)至少在數(shù)據(jù)中心中應(yīng)該是可見(jiàn)的。虛擬機(jī)需要的所有的存儲(chǔ)、帶寬、地面空間或者電力都來(lái)自于虛擬機(jī)所處的物理服務(wù)器。數(shù)據(jù)中心管理員如果沒(méi)有監(jiān)視每一個(gè)主機(jī)中的虛擬機(jī)之間的全部聯(lián)系記錄，這些虛擬機(jī)就變成了一個(gè)幾乎失控的看不見(jiàn)的網(wǎng)絡(luò)。

 

MacDonald說(shuō)，虛擬交換機(jī)的應(yīng)用讓虛擬機(jī)能夠相互之間溝通和跨網(wǎng)絡(luò)地溝通。但是，除非你在那個(gè)虛擬網(wǎng)絡(luò)中應(yīng)用了物理服務(wù)器上使用了同樣的控制措施，如虛擬嗅探器、虛擬防火墻等，否則，你就看不到正在運(yùn)行什么東西。

 

還有許多遵守法規(guī)和應(yīng)用的問(wèn)題。不會(huì)因?yàn)槟銢](méi)有嗅探器看不到虛擬服務(wù)器之間傳送的數(shù)據(jù)包這些數(shù)據(jù)包就不存在。MacDonald說(shuō)，你也許有一個(gè)HIPPA(健康保險(xiǎn)可攜性及責(zé)任性法案)控制的工作量與一個(gè)非HIPPA工作量進(jìn)行溝通，或者PCI法案工作量與非PCI法案工作量相互之間溝通。這將使你處于不利的地位。你也許知道你是否查看了那個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包。但是，這些數(shù)據(jù)包并不是來(lái)自于你查看的那臺(tái)機(jī)器。因此，除非你采取額外的步驟，否則你不會(huì)知道真實(shí)的情況。

 

微軟、VMware和思杰都在他們的基本產(chǎn)品中建立了對(duì)這些溝通的可見(jiàn)性和控制。但是，這個(gè)功能的水平還不足以達(dá)到保護(hù)用戶安全的程度。

 

思科沒(méi)有參與這件事，瞻博網(wǎng)絡(luò)也沒(méi)有參與這件事。我們還沒(méi)有達(dá)到這樣一個(gè)轉(zhuǎn)折點(diǎn)，讓傳統(tǒng)的網(wǎng)絡(luò)廠商都感到他們能夠進(jìn)入虛擬機(jī)領(lǐng)域。

 

在許多情況下，用戶既不知道也不在乎某些風(fēng)險(xiǎn)。在上個(gè)月在拉斯維加斯舉行的2009年RSA會(huì)議上，虛擬安全軟件提供商SecurePassage實(shí)施并且發(fā)表的一項(xiàng)調(diào)查顯示，72%的受訪者沒(méi)有使用任何類型的虛擬防火墻。主要原因是受訪者不了解虛擬網(wǎng)絡(luò)中的情況、管理虛擬安全的困難和缺少對(duì)于虛擬防火墻構(gòu)成的理解。

 

VMware建在其VSphere版本的虛擬基礎(chǔ)設(shè)施產(chǎn)品中的應(yīng)用程序編程接口VMSafe能夠使第三方安全廠商把它們的應(yīng)用程序應(yīng)用到VMware虛擬機(jī)。VMware在RSA會(huì)議上還宣布稱，它在vSphere軟件中內(nèi)置了RSA的預(yù)防數(shù)據(jù)丟失的軟件以增強(qiáng)安全性。

 

思杰首席技術(shù)官SimonCrosby在RSA會(huì)議上進(jìn)行的安全辯論中稱，安全應(yīng)該建在應(yīng)用程序中，而不應(yīng)該建在管理程序或者虛擬基礎(chǔ)設(shè)施管理產(chǎn)品中。

 

4.虛擬機(jī)蔓延

 

缺少對(duì)虛擬機(jī)監(jiān)管的另一個(gè)后果是虛擬機(jī)蔓延。虛擬機(jī)蔓延是虛擬機(jī)沒(méi)有控制的擴(kuò)散。IT經(jīng)理、開(kāi)發(fā)人員或者業(yè)務(wù)部門的經(jīng)理為了某些具體的應(yīng)用需要一些額外的服務(wù)器。他們推出了這些虛擬服務(wù)器，但是，后來(lái)忘記了并且失去了對(duì)這些虛擬服務(wù)器的跟蹤。

 

虛擬機(jī)蔓延浪費(fèi)資源，創(chuàng)建了可能訪問(wèn)敏感數(shù)據(jù)的沒(méi)有人監(jiān)視的服務(wù)器。當(dāng)以后出現(xiàn)問(wèn)題的時(shí)候，整個(gè)公司和IT部門要清除這些虛擬機(jī)是很痛苦的。

 

要強(qiáng)迫業(yè)務(wù)部門經(jīng)理填寫申請(qǐng)表并且說(shuō)明他們?yōu)槭裁葱枰~外的虛擬機(jī)，做什么用，需要多長(zhǎng)時(shí)間減緩這個(gè)流程的速度。但是，還要給每一個(gè)人一些時(shí)間考慮每一個(gè)虛擬機(jī)是否有必要。

 

Steffen說(shuō)，如果他們需要更換一臺(tái)他們已經(jīng)在運(yùn)行的一臺(tái)服務(wù)器，我們不會(huì)那樣做。但是，采用虛擬機(jī)，你有可能讓虛擬機(jī)完全失去控制。有這樣多的虛擬機(jī)，你不能對(duì)保證虛擬機(jī)的安全做任何事情。

 

SecurePassage對(duì)RSA會(huì)議參加者的調(diào)查顯示，42%的受訪者擔(dān)心虛擬機(jī)蔓延，特別是擔(dān)心對(duì)業(yè)務(wù)部門經(jīng)理隨意增加虛擬機(jī)缺乏控制。業(yè)務(wù)部門經(jīng)理隨意增加新的虛擬機(jī)，不與IT部門進(jìn)行協(xié)調(diào)并且保證管理和保護(hù)這些虛擬機(jī)。

 

5.管理虛擬設(shè)備

 

MacDonald稱，有關(guān)虛擬基礎(chǔ)設(shè)施的最佳事情之一是能夠購(gòu)買或者測(cè)試第三方廠商的產(chǎn)品，讓這種產(chǎn)品在幾分鐘之內(nèi)就設(shè)置完成并且開(kāi)始運(yùn)行，而不用在測(cè)試服務(wù)器上騰出地方，安裝軟件，讓這個(gè)產(chǎn)品與操作系統(tǒng)和網(wǎng)絡(luò)溝通，然后在幾個(gè)小時(shí)之后再觀察這個(gè)產(chǎn)品是否做它該做的事情。

 

遺憾的是，虛擬設(shè)備也是虛擬的盲目買進(jìn)的產(chǎn)品。每一套設(shè)備都有自己的操作系統(tǒng)和應(yīng)用程序，每一個(gè)都有自己的設(shè)置和補(bǔ)丁狀態(tài)。你不知道那里有什么或者誰(shuí)在維護(hù)它，或者不知道長(zhǎng)期的風(fēng)險(xiǎn)是什么。它有全部設(shè)置好的和準(zhǔn)備運(yùn)行的應(yīng)用程序和操作系統(tǒng)。你可以在五分鐘之內(nèi)試驗(yàn)這個(gè)新的反垃圾郵件服務(wù)器。但是，你不知道這套設(shè)備中是什么操作系統(tǒng)，是否使用了補(bǔ)丁。如果沒(méi)有使用補(bǔ)丁，誰(shuí)將向你提供這個(gè)補(bǔ)丁。