如何安全配置虛擬化

有專家提示，虛擬機(jī)和物理服務(wù)器一樣可能遭受潛在的安全攻擊，以及管理器技術(shù)可能存在的漏洞帶來的風(fēng)險(xiǎn)。

　　服務(wù)器虛擬化可以實(shí)現(xiàn)在更少的硬件資源上運(yùn)行更多的操作系統(tǒng)和應(yīng)用，用戶使用服務(wù)器虛擬化技術(shù)可以根據(jù)需要更快地對(duì)新資源進(jìn)行分配。但是這種靈活性使負(fù)責(zé)網(wǎng)絡(luò)和安全的經(jīng)理們產(chǎn)生這樣一個(gè)憂慮，是否虛擬環(huán)境下的安全風(fēng)險(xiǎn)會(huì)蔓延到整個(gè)網(wǎng)絡(luò)上?

　　Exactech的網(wǎng)絡(luò)管理員Craig Bush表示：“之所以我們暫時(shí)不考慮采用服務(wù)器虛擬化技術(shù)就是因?yàn)槲衣犝f了虛擬管理器可能帶來的安全風(fēng)險(xiǎn)。”

　　以下是目前人們?cè)谔摂M環(huán)境下最為關(guān)注的四個(gè)安全問題：

　　1、虛擬機(jī)可能帶來的安全問題

　　IT經(jīng)理們擔(dān)心針對(duì)虛擬機(jī)的安全攻擊可能會(huì)影響到在同一主機(jī)環(huán)境下的虛擬機(jī)。如果一臺(tái)虛擬機(jī)可以“避開”他所處的獨(dú)立環(huán)境而與配套的虛擬管理器協(xié)同工作的話，那么攻擊者就無(wú)法攻進(jìn)管理其他虛擬機(jī)的虛擬管理器，也就不必專門針對(duì)保護(hù)虛擬機(jī)而進(jìn)行安全控制了。

　　“虛擬世界中安全問題的尚方寶劍就是避開虛擬機(jī)，掌握對(duì)虛擬機(jī)和虛擬環(huán)境的控制。”Burton Group高級(jí)分析師Pete Lindstrom最近在一個(gè)有關(guān)虛擬化技術(shù)安全問題的網(wǎng)絡(luò)廣播中這樣說道。

　　雖然已經(jīng)有了許多嘗試這種避開虛擬機(jī)的例子，但是還有人指出目前還沒有出現(xiàn)在虛擬機(jī)安全方面發(fā)生的災(zāi)難故障。

　　Catapult Systems公司咨詢師Steve Ross表示：“在我看來，目前還沒有哪個(gè)黑客可以通過虛擬管理器將安全問題從一個(gè)虛擬主機(jī)上轉(zhuǎn)移到另一個(gè)虛擬主機(jī)上。”

　　美國(guó)緬因州Bowdoin College大學(xué)系統(tǒng)工程師Tim Antonowicz表示：“也許這種情況會(huì)發(fā)生，黑客或者攻擊者可能從一個(gè)虛擬機(jī)上轉(zhuǎn)移到另一個(gè)虛擬機(jī)，但是到目前為止我還沒有發(fā)現(xiàn)有任何的功能中斷情況。”Antonowicz應(yīng)用了VMware ESX來進(jìn)行服務(wù)器虛擬化，他根據(jù)虛擬機(jī)上的數(shù)據(jù)信息和應(yīng)用的靈敏性程度，將虛擬機(jī)從資源集群中隔離出來，從而將安全隱患降到最低水平。他說：“你不得不以這種方式將虛擬機(jī)隔離開來，這樣才能加強(qiáng)安全性。”

　　美國(guó)芝加哥Cars.com公司技術(shù)操作總監(jiān)Edward Christensen也采取相同的做法對(duì)架構(gòu)中的虛擬機(jī)進(jìn)行隔離。他說：“確保IT環(huán)境安全的通常做法就是在數(shù)據(jù)庫(kù)和應(yīng)用層之間建立防火墻。但是當(dāng)你處在虛擬環(huán)境下，問題就復(fù)雜多了。”這家在線汽車公司使用虛擬機(jī)來對(duì)其配置的惠普服務(wù)器進(jìn)行虛擬化，在網(wǎng)絡(luò)外存儲(chǔ)虛擬環(huán)境可以從一定程度上緩解安全問題。

　　2、為虛擬機(jī)打補(bǔ)丁

　　虛擬機(jī)的普及會(huì)帶來一個(gè)問題：虛擬機(jī)開發(fā)的簡(jiǎn)易性會(huì)導(dǎo)致更多預(yù)期之外的應(yīng)用實(shí)例出現(xiàn)，尤其是在虛擬環(huán)境下對(duì)操作系統(tǒng)的升級(jí)和更新。

　　Burton Group分析師Lindstrom表示：“因?yàn)檫@些虛擬機(jī)并不是固定的，所以為這些虛擬機(jī)打補(bǔ)丁成為一個(gè)嚴(yán)峻挑戰(zhàn)，在虛擬世界中確保一臺(tái)虛擬機(jī)上的補(bǔ)丁程序的合法化是非常重要的。”

　　IT經(jīng)理都表示認(rèn)同打補(bǔ)丁是虛擬環(huán)境下一項(xiàng)重要工作，但是他們之間的分歧主要集中在為虛擬服務(wù)器打補(bǔ)丁和為物理服務(wù)器打補(bǔ)丁并不是一個(gè)安全問題，而是卷容量問題。

　　Catapult公司分析師Ross表示：“我們需要謹(jǐn)記一點(diǎn)，虛擬服務(wù)器和物理服務(wù)器一樣需要進(jìn)行補(bǔ)丁管理和補(bǔ)丁維護(hù)。”Transplace有三種虛擬環(huán)境，其中兩個(gè)是在網(wǎng)絡(luò)中而另一個(gè)是在DMZ中(包括大約150臺(tái)虛擬機(jī))，“虛擬管理器為升級(jí)更新添加了新的層，但是打補(bǔ)丁這項(xiàng)工作無(wú)論在虛擬機(jī)還是物理機(jī)上都是十分重要的。”

　　在Antonowicz看來，現(xiàn)在虛擬機(jī)普遍應(yīng)用之后首先要面臨一個(gè)優(yōu)先考慮的問題，因?yàn)楫?dāng)在他直接管理下的虛擬機(jī)數(shù)量增加時(shí)，也就意味著為虛擬機(jī)打補(bǔ)丁所花費(fèi)的時(shí)間更長(zhǎng)了。早過去，他要給40臺(tái)服務(wù)器打補(bǔ)丁，而現(xiàn)在這個(gè)數(shù)量增加到了80臺(tái)，他希望有一天能夠使用一款專門的工具來自動(dòng)完成這個(gè)打補(bǔ)丁的工作。

　　他說：“如果不加以強(qiáng)行控制的話，虛擬環(huán)境就會(huì)瘋漲。在我們引進(jìn)更多的虛擬機(jī)設(shè)備前，我希望業(yè)內(nèi)能夠推出一款專門打補(bǔ)丁的自動(dòng)化工具。”

　　3、在DMZ上運(yùn)行虛擬機(jī)

　　通常許多IT經(jīng)理都會(huì)避免將虛擬服務(wù)器在DMZ中運(yùn)行，而其他IT經(jīng)理則不會(huì)在DMZ或那些被企業(yè)級(jí)防火墻保護(hù)的虛擬機(jī)中運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用。但是Burton Group分析師Lindstrom指出，只要有適當(dāng)?shù)陌踩Ｗo(hù)措施，用戶完全可以將虛擬服務(wù)器在DMZ中運(yùn)行。他說：“只要防火墻或其他獨(dú)立設(shè)備是物理環(huán)境下的，你就可以在DMZ中應(yīng)用虛擬化技術(shù)。大多數(shù)情況下，只要你將資源分離開，就可以放心的運(yùn)行應(yīng)用了。”

　　許多IT經(jīng)理都開始著手將他們的虛擬服務(wù)器進(jìn)行分離，并設(shè)置在企業(yè)級(jí)防火墻的保護(hù)下。Transplace公司IT架構(gòu)總監(jiān)Scott Engle認(rèn)為，有價(jià)值的東西都在防火墻保護(hù)下，那些在DMZ中運(yùn)行的虛擬機(jī)應(yīng)用包括DNS等服務(wù)。

　　Engle表示：“我們?cè)谕泄苤鳈C(jī)中運(yùn)行虛擬機(jī)。在DMZ中，我們將運(yùn)行帶有少量VMware實(shí)例的物理服務(wù)器，但是我們不會(huì)將托管服務(wù)器和未托管網(wǎng)絡(luò)連接起來。”

　　4、新引入的虛擬管理器技術(shù)可能會(huì)讓黑客有機(jī)可乘

　　任何一套新的操作系統(tǒng)都可能有很多漏洞，這也就意味著黑客們也會(huì)極力找出虛擬操作系統(tǒng)致命弱點(diǎn)以發(fā)出安全攻擊。

　　業(yè)內(nèi)觀察家建議安全經(jīng)理應(yīng)該謹(jǐn)慎對(duì)待虛擬操作系統(tǒng)，這些虛擬操作系統(tǒng)可能帶來的安全隱患恐怕不是所有手動(dòng)操作都能解決的。

　　Ptak,Noel and Associates的首席分析師Richard L. Ptak表示：“虛擬系統(tǒng)實(shí)際上是一套全新的操作系統(tǒng)，可以實(shí)現(xiàn)底層硬件和環(huán)境的緊密交互，可能帶來的管理?yè)Q亂問題不容忽視。”

　　但是，虛擬管理器可能帶來的安全隱患也許比人們想象中的少。像VMware等公司都開始致力于最大程度上降低虛擬管理器技術(shù)可能存在的安全漏洞。

　　Internet Research Group首席分析師Peter Christy表示：“VMware此舉是一個(gè)很好的示范。但是一個(gè)管理器僅僅是出于表層的一小部分代碼，要比確保8000萬(wàn)行代碼的安全性要容易多了。”