如何安全配置虛擬化

有專家提示，虛擬機和物理服務器一樣可能遭受潛在的安全攻擊，以及管理器技術可能存在的漏洞帶來的風險。

　　服務器虛擬化可以實現(xiàn)在更少的硬件資源上運行更多的操作系統(tǒng)和應用，用戶使用服務器虛擬化技術可以根據(jù)需要更快地對新資源進行分配。但是這種靈活性使負責網(wǎng)絡和安全的經(jīng)理們產(chǎn)生這樣一個憂慮，是否虛擬環(huán)境下的安全風險會蔓延到整個網(wǎng)絡上?

　　Exactech的網(wǎng)絡管理員Craig Bush表示：“之所以我們暫時不考慮采用服務器虛擬化技術就是因為我聽說了虛擬管理器可能帶來的安全風險。”

　　以下是目前人們在虛擬環(huán)境下最為關注的四個安全問題：

　　1、虛擬機可能帶來的安全問題

　　IT經(jīng)理們擔心針對虛擬機的安全攻擊可能會影響到在同一主機環(huán)境下的虛擬機。如果一臺虛擬機可以“避開”他所處的獨立環(huán)境而與配套的虛擬管理器協(xié)同工作的話，那么攻擊者就無法攻進管理其他虛擬機的虛擬管理器，也就不必專門針對保護虛擬機而進行安全控制了。

　　“虛擬世界中安全問題的尚方寶劍就是避開虛擬機，掌握對虛擬機和虛擬環(huán)境的控制。”Burton Group高級分析師Pete Lindstrom最近在一個有關虛擬化技術安全問題的網(wǎng)絡廣播中這樣說道。

　　雖然已經(jīng)有了許多嘗試這種避開虛擬機的例子，但是還有人指出目前還沒有出現(xiàn)在虛擬機安全方面發(fā)生的災難故障。

　　Catapult Systems公司咨詢師Steve Ross表示：“在我看來，目前還沒有哪個黑客可以通過虛擬管理器將安全問題從一個虛擬主機上轉(zhuǎn)移到另一個虛擬主機上。”

　　美國緬因州Bowdoin College大學系統(tǒng)工程師Tim Antonowicz表示：“也許這種情況會發(fā)生，黑客或者攻擊者可能從一個虛擬機上轉(zhuǎn)移到另一個虛擬機，但是到目前為止我還沒有發(fā)現(xiàn)有任何的功能中斷情況。”Antonowicz應用了VMware ESX來進行服務器虛擬化，他根據(jù)虛擬機上的數(shù)據(jù)信息和應用的靈敏性程度，將虛擬機從資源集群中隔離出來，從而將安全隱患降到最低水平。他說：“你不得不以這種方式將虛擬機隔離開來，這樣才能加強安全性。”

　　美國芝加哥Cars.com公司技術操作總監(jiān)Edward Christensen也采取相同的做法對架構中的虛擬機進行隔離。他說：“確保IT環(huán)境安全的通常做法就是在數(shù)據(jù)庫和應用層之間建立防火墻。但是當你處在虛擬環(huán)境下，問題就復雜多了。”這家在線汽車公司使用虛擬機來對其配置的惠普服務器進行虛擬化，在網(wǎng)絡外存儲虛擬環(huán)境可以從一定程度上緩解安全問題。

　　2、為虛擬機打補丁

　　虛擬機的普及會帶來一個問題：虛擬機開發(fā)的簡易性會導致更多預期之外的應用實例出現(xiàn)，尤其是在虛擬環(huán)境下對操作系統(tǒng)的升級和更新。

　　Burton Group分析師Lindstrom表示：“因為這些虛擬機并不是固定的，所以為這些虛擬機打補丁成為一個嚴峻挑戰(zhàn)，在虛擬世界中確保一臺虛擬機上的補丁程序的合法化是非常重要的。”

　　IT經(jīng)理都表示認同打補丁是虛擬環(huán)境下一項重要工作，但是他們之間的分歧主要集中在為虛擬服務器打補丁和為物理服務器打補丁并不是一個安全問題，而是卷容量問題。

　　Catapult公司分析師Ross表示：“我們需要謹記一點，虛擬服務器和物理服務器一樣需要進行補丁管理和補丁維護。”Transplace有三種虛擬環(huán)境，其中兩個是在網(wǎng)絡中而另一個是在DMZ中(包括大約150臺虛擬機)，“虛擬管理器為升級更新添加了新的層，但是打補丁這項工作無論在虛擬機還是物理機上都是十分重要的。”

　　在Antonowicz看來，現(xiàn)在虛擬機普遍應用之后首先要面臨一個優(yōu)先考慮的問題，因為當在他直接管理下的虛擬機數(shù)量增加時，也就意味著為虛擬機打補丁所花費的時間更長了。早過去，他要給40臺服務器打補丁，而現(xiàn)在這個數(shù)量增加到了80臺，他希望有一天能夠使用一款專門的工具來自動完成這個打補丁的工作。

　　他說：“如果不加以強行控制的話，虛擬環(huán)境就會瘋漲。在我們引進更多的虛擬機設備前，我希望業(yè)內(nèi)能夠推出一款專門打補丁的自動化工具。”

　　3、在DMZ上運行虛擬機

　　通常許多IT經(jīng)理都會避免將虛擬服務器在DMZ中運行，而其他IT經(jīng)理則不會在DMZ或那些被企業(yè)級防火墻保護的虛擬機中運行關鍵業(yè)務應用。但是Burton Group分析師Lindstrom指出，只要有適當?shù)陌踩Ｗo措施，用戶完全可以將虛擬服務器在DMZ中運行。他說：“只要防火墻或其他獨立設備是物理環(huán)境下的，你就可以在DMZ中應用虛擬化技術。大多數(shù)情況下，只要你將資源分離開，就可以放心的運行應用了。”

　　許多IT經(jīng)理都開始著手將他們的虛擬服務器進行分離，并設置在企業(yè)級防火墻的保護下。Transplace公司IT架構總監(jiān)Scott Engle認為，有價值的東西都在防火墻保護下，那些在DMZ中運行的虛擬機應用包括DNS等服務。

　　Engle表示：“我們在托管主機中運行虛擬機。在DMZ中，我們將運行帶有少量VMware實例的物理服務器，但是我們不會將托管服務器和未托管網(wǎng)絡連接起來。”

　　4、新引入的虛擬管理器技術可能會讓黑客有機可乘

　　任何一套新的操作系統(tǒng)都可能有很多漏洞，這也就意味著黑客們也會極力找出虛擬操作系統(tǒng)致命弱點以發(fā)出安全攻擊。

　　業(yè)內(nèi)觀察家建議安全經(jīng)理應該謹慎對待虛擬操作系統(tǒng)，這些虛擬操作系統(tǒng)可能帶來的安全隱患恐怕不是所有手動操作都能解決的。

　　Ptak,Noel and Associates的首席分析師Richard L. Ptak表示：“虛擬系統(tǒng)實際上是一套全新的操作系統(tǒng)，可以實現(xiàn)底層硬件和環(huán)境的緊密交互，可能帶來的管理換亂問題不容忽視。”

　　但是，虛擬管理器可能帶來的安全隱患也許比人們想象中的少。像VMware等公司都開始致力于最大程度上降低虛擬管理器技術可能存在的安全漏洞。

　　Internet Research Group首席分析師Peter Christy表示：“VMware此舉是一個很好的示范。但是一個管理器僅僅是出于表層的一小部分代碼，要比確保8000萬行代碼的安全性要容易多了。”