服务器在线1月7日报道 接受虚拟化的用户通常都将虚拟化作为企业计算的福音。虚拟化能将分散的服务器和数据库进行整合以此来提供更加经济高效的运营方式。在虚拟机上运行整合过的计算机还能节省让闲置服务器和数据处理硬件系统运行所消耗的电力浪费。
然而虚拟的计算环境也还会导致意想不到的安全问题。举例来说,虚拟化有时会绕过依靠硬件连接才能发挥作用的网络安全标准。另一个潜在的安全隐患在于某些虚拟机具备逃避安全监管的能力。因此安全网络扫描通常会遗漏那些并不安全的虚拟服务器,因为他们要必须在扫描过程中运行才能被发现。
虚拟机的灵活性也会导致安全死角。虚拟机能随时创建:因为他们可以被下载到桌面系统上,驻留在内存中,这样他们就离开了物理安全监管的范围。
托管服务厂商BlackMesh公司的首席信息官Eric Mandel表示"部署虚拟化,系统可以像他们运行的本地系统一样安全。应用虚拟化背后的想法是在一台物理机上创建多重系统映像。在本地系统中适用的安全概念同样也适用于虚拟映像,除了自己的系统要被锁定外。而这些是任何环境下都必须考虑的安全风险"。
真的隔离了吗?
从理论上来说,虚拟环境中运行的计算处理与在同样物理硬件上运行的其他虚拟机是隔离开来的。每个虚拟机实例都能存储在物理硬盘中,关机和携带都能保持持续性隔离和安全性。但是在实践过程中,安全问题却并不那么简单。
Mandel解释说,虚拟机是由自身的系统来定义的。每台物理机中只存在一种自己的系统,但是许多虚拟机的创建都是在同样的系统下运行的。
一旦虚拟机被定义完成,它就作为自己的实例来运行,这个实例可能有权也可能无权访问其他虚拟机的资源,诸如虚拟硬盘,CD/DVD光驱,磁带等。这就意味着每个虚拟机都能在同样的物理机上与其他的虚拟机隔离开来独立完成。然而这种环境也可能创建的时候就允许虚拟机共享这些同样的资源。
Mandel表示"在这种情况下,一个虚拟实例会传染共享数据,继而又影响到共享同样资源的其他虚拟机。自己的系统和这个问题是无关的,因为它拥有独立的硬盘,只有它自己才能访问"。
Mandel警告说,对一台物理服务器上托管的多重虚拟机最普遍也最真实的影响是虚拟实例对系统资源的争夺。磁盘输入/输出,随机存取存储器和中央处理器单元都是被一台物理机上托管的多重虚拟机过度使用的系统资源。
缺乏信服
并非所有追捧虚拟化技术的倡导者都同意虚拟化的应用会带来新的安全隐患这种说法。虚拟软件厂商也在致力于相关工具的研发来阻止这种安全问题的产生。
Untangle是专门提供开源网络网关应用工具的厂商,他们的首席技术官德克.莫里斯表示"我们听说过这种担忧。我们认为并不存在这种真实的虚拟安全漏洞,虚拟机的风险与他的优势相比几乎等同于没有风险。
莫里斯还补充说,Untangle公司也对自己的数据中心部署了虚拟机,还没有遇到过任何麻烦。他的公司在一种虚拟机使用了20种不同的服务器。
"它也没有改变备份规则"莫里斯强调说"虚拟化会带来安全问题,但目前我们还没有看到"。
差异的存在
不过虚拟化如果和其他计算单元混合使用就会带来不安全因素。通常来说,虚拟化厂商都会鼓吹他们的产品不存在安全隐患。
Secure Computing公司负责全球技术战略的副总裁斯科特.蒙哥马利表示"虚拟化并不会给安全带来任何附件负担,它在节约制冷成本等方面表现极为突出,但虚拟化并非万能钥匙,也无法解决我们的所有问题。虚拟机也不会让安全问题减少,它只是让它看起来与众不同。VMware就曾宣称他们的产品增加了安全性,但我没想那么远"。
蒙哥马利表示,举例来说让虚拟机脱机一个月。当它重新联机时所有的安全措施都过期了。这是一个专门针对虚拟化的问题,你怎么为过期的证书打补丁呢?多数厂商目前都没有这种工具。
其他担忧
虚拟化安全始终是业界讨论的热点。正面和反面的观点一直都在继续。
Core Security公司的产品管理副总裁Fred Pinkett表示"硬性配置防火墙,如今虚拟机环境中的所有系统都在讨论这个问题。产品目前在虚拟化中可以加以控制。增加安全层和新分界会给虚拟机全新的安全保障"。
人们一般很少听说设计虚拟机的数据泄露,但是这并不意味着没有这种可能。
总结
蒙哥马利警告说,令人紧张的是虚拟化让物理平台上的许多数据被迁移。这使得虚拟化能访问所有的平台。在同一个位置上的数据库和网络服务器都存在潜在风险。几乎没有那家厂商谈到过这些问题。
访问服务器应用软件和数据变得更加容易。如果一种遭遇风险,那么其他的也会受到牵连,这是个交叉性问题。
安全厂商坚持认为应该对网络上的虚拟机环境特别对待来插入隐藏的缺口。这些解决方案可能都无法通过虚拟软件制造商来提供,必须有第三方厂商的介入。
Stonesoft公司的资深解决方案架构师Kim Lassila表示"我认为让人们了解风险对于虚拟机和物理机都是同样存在的,这很关键。如果不应用虚拟安全解决方案,就很难保护虚拟环境"。
他补充说,没有树立正确意识的用户会在没有防火墙保护的情况下将物理企业网络联接到因特网上。虚拟环境也同样如此。"虚拟平台上的服务器,桌面系统和其他工作负载和他们在物理环境中面临的风险是一样的。这是因为操作系统和应用软件都是一样的"。
黑客的诱惑
令Lassila担忧的另外一个问题是虚拟化存在受黑客攻击的隐患。有关虚拟化的两个因素涉及这个问题。
一个是某些用户存在虚拟化平台能创建安全的虚拟服务器,桌面系统或网络这种误解。按照这种思维,管理员就认为没必要为此而担忧。
第二个因素是虚拟网络并不实际。因此管理员不能从屋里上将网络分析器连接到虚拟网络上看到流量。
Lassila表示"这样如果没有针对虚拟环境而特别设计的安全解决方案的帮助,要想实现对虚拟网络流量的监控,监管和控制就变得非常困难"。
未经允许不得转载:DOIT » Doserv分析:部署虚拟化后的安全问题
