如何安全配置虛擬化

有專(zhuān)家提示，虛擬機和物理服務(wù)器一樣可能遭受潛在的安全攻擊，以及管理器技術(shù)可能存在的漏洞帶來(lái)的風(fēng)險。

　　服務(wù)器虛擬化可以實(shí)現在更少的硬件資源上運行更多的操作系統和應用，用戶(hù)使用服務(wù)器虛擬化技術(shù)可以根據需要更快地對新資源進(jìn)行分配。但是這種靈活性使負責網(wǎng)絡(luò )和安全的經(jīng)理們產(chǎn)生這樣一個(gè)憂(yōu)慮，是否虛擬環(huán)境下的安全風(fēng)險會(huì )蔓延到整個(gè)網(wǎng)絡(luò )上?

　　Exactech的網(wǎng)絡(luò )管理員Craig Bush表示：“之所以我們暫時(shí)不考慮采用服務(wù)器虛擬化技術(shù)就是因為我聽(tīng)說(shuō)了虛擬管理器可能帶來(lái)的安全風(fēng)險。”

　　以下是目前人們在虛擬環(huán)境下最為關(guān)注的四個(gè)安全問(wèn)題：

　　1、虛擬機可能帶來(lái)的安全問(wèn)題

　　IT經(jīng)理們擔心針對虛擬機的安全攻擊可能會(huì )影響到在同一主機環(huán)境下的虛擬機。如果一臺虛擬機可以“避開(kāi)”他所處的獨立環(huán)境而與配套的虛擬管理器協(xié)同工作的話(huà)，那么攻擊者就無(wú)法攻進(jìn)管理其他虛擬機的虛擬管理器，也就不必專(zhuān)門(mén)針對保護虛擬機而進(jìn)行安全控制了。

　　“虛擬世界中安全問(wèn)題的尚方寶劍就是避開(kāi)虛擬機，掌握對虛擬機和虛擬環(huán)境的控制。”Burton Group高級分析師Pete Lindstrom最近在一個(gè)有關(guān)虛擬化技術(shù)安全問(wèn)題的網(wǎng)絡(luò )廣播中這樣說(shuō)道。

　　雖然已經(jīng)有了許多嘗試這種避開(kāi)虛擬機的例子，但是還有人指出目前還沒(méi)有出現在虛擬機安全方面發(fā)生的災難故障。

　　Catapult Systems公司咨詢(xún)師Steve Ross表示：“在我看來(lái)，目前還沒(méi)有哪個(gè)黑客可以通過(guò)虛擬管理器將安全問(wèn)題從一個(gè)虛擬主機上轉移到另一個(gè)虛擬主機上。”

　　美國緬因州Bowdoin College大學(xué)系統工程師Tim Antonowicz表示：“也許這種情況會(huì )發(fā)生，黑客或者攻擊者可能從一個(gè)虛擬機上轉移到另一個(gè)虛擬機，但是到目前為止我還沒(méi)有發(fā)現有任何的功能中斷情況。”Antonowicz應用了VMware ESX來(lái)進(jìn)行服務(wù)器虛擬化，他根據虛擬機上的數據信息和應用的靈敏性程度，將虛擬機從資源集群中隔離出來(lái)，從而將安全隱患降到最低水平。他說(shuō)：“你不得不以這種方式將虛擬機隔離開(kāi)來(lái)，這樣才能加強安全性。”

　　美國芝加哥Cars.com公司技術(shù)操作總監Edward Christensen也采取相同的做法對架構中的虛擬機進(jìn)行隔離。他說(shuō)：“確保IT環(huán)境安全的通常做法就是在數據庫和應用層之間建立防火墻。但是當你處在虛擬環(huán)境下，問(wèn)題就復雜多了。”這家在線(xiàn)汽車(chē)公司使用虛擬機來(lái)對其配置的惠普服務(wù)器進(jìn)行虛擬化，在網(wǎng)絡(luò )外存儲虛擬環(huán)境可以從一定程度上緩解安全問(wèn)題。

　　2、為虛擬機打補丁

　　虛擬機的普及會(huì )帶來(lái)一個(gè)問(wèn)題：虛擬機開(kāi)發(fā)的簡(jiǎn)易性會(huì )導致更多預期之外的應用實(shí)例出現，尤其是在虛擬環(huán)境下對操作系統的升級和更新。

　　Burton Group分析師Lindstrom表示：“因為這些虛擬機并不是固定的，所以為這些虛擬機打補丁成為一個(gè)嚴峻挑戰，在虛擬世界中確保一臺虛擬機上的補丁程序的合法化是非常重要的。”

　　IT經(jīng)理都表示認同打補丁是虛擬環(huán)境下一項重要工作，但是他們之間的分歧主要集中在為虛擬服務(wù)器打補丁和為物理服務(wù)器打補丁并不是一個(gè)安全問(wèn)題，而是卷容量問(wèn)題。

　　Catapult公司分析師Ross表示：“我們需要謹記一點(diǎn)，虛擬服務(wù)器和物理服務(wù)器一樣需要進(jìn)行補丁管理和補丁維護。”Transplace有三種虛擬環(huán)境，其中兩個(gè)是在網(wǎng)絡(luò )中而另一個(gè)是在DMZ中(包括大約150臺虛擬機)，“虛擬管理器為升級更新添加了新的層，但是打補丁這項工作無(wú)論在虛擬機還是物理機上都是十分重要的。”

　　在A(yíng)ntonowicz看來(lái)，現在虛擬機普遍應用之后首先要面臨一個(gè)優(yōu)先考慮的問(wèn)題，因為當在他直接管理下的虛擬機數量增加時(shí)，也就意味著(zhù)為虛擬機打補丁所花費的時(shí)間更長(cháng)了。早過(guò)去，他要給40臺服務(wù)器打補丁，而現在這個(gè)數量增加到了80臺，他希望有一天能夠使用一款專(zhuān)門(mén)的工具來(lái)自動(dòng)完成這個(gè)打補丁的工作。

　　他說(shuō)：“如果不加以強行控制的話(huà)，虛擬環(huán)境就會(huì )瘋漲。在我們引進(jìn)更多的虛擬機設備前，我希望業(yè)內能夠推出一款專(zhuān)門(mén)打補丁的自動(dòng)化工具。”

　　3、在DMZ上運行虛擬機

　　通常許多IT經(jīng)理都會(huì )避免將虛擬服務(wù)器在DMZ中運行，而其他IT經(jīng)理則不會(huì )在DMZ或那些被企業(yè)級防火墻保護的虛擬機中運行關(guān)鍵業(yè)務(wù)應用。但是Burton Group分析師Lindstrom指出，只要有適當的安全保護措施，用戶(hù)完全可以將虛擬服務(wù)器在DMZ中運行。他說(shuō)：“只要防火墻或其他獨立設備是物理環(huán)境下的，你就可以在DMZ中應用虛擬化技術(shù)。大多數情況下，只要你將資源分離開(kāi)，就可以放心的運行應用了。”

　　許多IT經(jīng)理都開(kāi)始著(zhù)手將他們的虛擬服務(wù)器進(jìn)行分離，并設置在企業(yè)級防火墻的保護下。Transplace公司IT架構總監Scott Engle認為，有價(jià)值的東西都在防火墻保護下，那些在DMZ中運行的虛擬機應用包括DNS等服務(wù)。

　　Engle表示：“我們在托管主機中運行虛擬機。在DMZ中，我們將運行帶有少量VMware實(shí)例的物理服務(wù)器，但是我們不會(huì )將托管服務(wù)器和未托管網(wǎng)絡(luò )連接起來(lái)。”

　　4、新引入的虛擬管理器技術(shù)可能會(huì )讓黑客有機可乘

　　任何一套新的操作系統都可能有很多漏洞，這也就意味著(zhù)黑客們也會(huì )極力找出虛擬操作系統致命弱點(diǎn)以發(fā)出安全攻擊。

　　業(yè)內觀(guān)察家建議安全經(jīng)理應該謹慎對待虛擬操作系統，這些虛擬操作系統可能帶來(lái)的安全隱患恐怕不是所有手動(dòng)操作都能解決的。

　　Ptak,Noel and Associates的首席分析師Richard L. Ptak表示：“虛擬系統實(shí)際上是一套全新的操作系統，可以實(shí)現底層硬件和環(huán)境的緊密交互，可能帶來(lái)的管理?yè)Q亂問(wèn)題不容忽視。”

　　但是，虛擬管理器可能帶來(lái)的安全隱患也許比人們想象中的少。像VMware等公司都開(kāi)始致力于最大程度上降低虛擬管理器技術(shù)可能存在的安全漏洞。

　　Internet Research Group首席分析師Peter Christy表示：“VMware此舉是一個(gè)很好的示范。但是一個(gè)管理器僅僅是出于表層的一小部分代碼，要比確保8000萬(wàn)行代碼的安全性要容易多了。”