虚拟机：为入侵者开辟的新方便之门

如果企业一味扩大服务器虚拟化，而对虚拟机与物理服务器的本质区别熟视无睹的话，那么他们迟早会给入侵者开辟新的方便之门，使之顺利进入到数据中心。我们目前还无法精准地确定这类威胁的本质，因为它们尚未切实发生过。但是过去两年中，任何对上述事实感到欣慰的公司肯定从未关注过信息安全。

VMware公司和开源厂商XenSource公司开发的虚拟机管理软件，是数据中心中新一层特权软件的代表，这些软件与操作系统类似，可全权访问其他软件资源；但他们却没有像操作系统一样，经过多年的测试与评估。高德纳公司（Gartner）预计，从现在到2009年，60%的虚拟机安全性会低于物理服务器。而且如果存在安全漏洞的话，入侵者一旦获取一台虚拟化服务器管理程序的访问权限，必将能够在该软件辖下的所有虚拟机中来去自由，如入无人之境。

许多组织将保护物理服务器的手段如法炮制到虚拟服务器上。迄今只出现了少数几个专业化工具，能用来监测并保护VMware的ESX虚拟机管理程序，比如Reflex安全公司（Reflex Security）的VSA和Blue Lane科技公司（Blue Lane Technologies，下称Blue Lane）的VirtualShield。目前尚未有成熟的用于保护XenSource产品的安全工具。

VMware强调说，银行和美国军方都使用ESX Server，这说明该软件是个安全的平台。但是运行虚拟机管理软件，有别于在物理服务器上运行操作系统。VMware的VMotion工具可发现、转移、并在另一台物理服务器上启动该虚拟机管理软件，而将其原来的安全环境弃之不顾，Blue Lane高级副总裁奥尔韦恩西奎拉（Allwyn Sequeira）指出。"在部署虚拟化之前，防火墙、路由器以及服务器上都需安装一个相对静态的安全架构。"西奎拉表示。因此，安全策略通常是以某个既定的TCP/IP为核心。当VMotion将虚拟机转移到新服务器上，并给出新的TCP/IP地址时，新旧两套安全策略应该保持同步；但实际上，这一点往往难以实现，西奎拉进一步分析道。

因此，要想对所有虚拟机进行追踪，并始终将之控制在视野之内，实属不易。Blue Lane的一名客户就曾忘记过一台虚拟机的存在，直到在检测时才发现，该虚拟机已于6个月前即已启动了。如果入侵者刚好于此时趁虚而入，那后果不堪设想，因为没有管理员对此虚拟机的行为进行追踪，西奎拉补充说。

BMC公司、CA公司以及惠普公司（HP）等系统管理厂商，已纷纷着手在各自的产品中增加虚拟机管理特性。尽管如此，要想溜出管理员的视野之外，还是易如反掌。

未经允许不得转载：DOIT » 虚拟机：为入侵者开辟的新方便之门