"虚拟化技术并非天生就不安全。然而,大多数虚拟化的工作负载其部署方式却是不安全的。"Gartner公司的分析师Neil MacDonald今年早些时候在一份名为《应对数据中心虚拟化项目中最常见的安全风险》的报告中这样写道。
虚拟化项目方面的规划应该总是让信息安全团队参与进来;但是根据Gartner的调查数据显示,40%的虚拟化项目在安全团队没有参与初期架构和规划阶段的情况下就仓促上马了。
MacDonald指出,由于虚拟机管理程序统管在物理服务器上运行的所有工作负载,因此某一威胁"可能导致在上面处理的所有工作负载受到危及。"在传统架构中,一台服务器受到威胁只会使该服务器上的工作负载面临险境,而在虚拟化数据中心中情况就不是这样了。
虚拟机管理程序本身还加大了受攻击面(attack surface)。比如说,VMware正在改造自己的虚拟化架构,以便摆脱基于Linux的服务控制台,目的就是为了将受攻击面从约2GB缩小至100MB。
尽管这改善了安全性,但是客户在安全方面仍需要引起重视。Gartner建议用户应该从安全和管理的角度,将虚拟化平台视作"你数据中心中最重要的IT平台"。
Gartner认为,IT部门需要制定有关合并不同信任级别的工作负载的策略,并且在评估新的安全和管理工具时,"应偏爱那些涵盖物理环境和虚拟环境,使用统一管理、策略和报告框架的工具。"
报告还指出,IT部门必须关注在虚拟机管理程序层安装的任何代码所存在的安全漏洞,包括驱动程序、插件和第三方工具,并且确保一切都是最新版本,并打上了补丁。
就算虚拟化层与之前的物理架构一样安全,但用户往往配置更多的虚拟机意味着,你的覆盖面更大了,"一旦你的覆盖面扩大,面临的安全风险就会随之加大。"
Turner正在关注几款系统管理工具,比如Cfengine、Puppet Labs和Chef,目的是为了使验证补丁、删除过期用户帐户等过程实现自动化,并且确保配置文件没有遭到篡改。
在服务器进行虚拟化之后,即使像运行反病毒软件这类相对简单的任务也可能变得更复杂。Harper指出,他的员工不得不手工修改每周扫瞄Windows Server实例的时间,因为要是不这么做,这些扫瞄就会同时执行,从而导致输入/输出负载过大。
Harper表示,客户们需要结合新的产品和流程,才能防止虚拟化带来麻烦,因为把虚拟机当作物理裸机那样来管理根本行不通。
不过,Harper和Sabre公司的高级IT专家Jim Brewster对虚拟世界的安全性持乐观态度。Brewster表示,对安全区实行物理隔离正在让位于基于软件的安全区;而且有了虚拟化管理工具,胡作非为的IT管理员就很难在其操作不被日志记录的情况下篡改系统。
微软和VMware为多少进程应留在操作系统中、多少进程应推向虚拟机管理程序层争辩不休。但是Brewster盼望着安全功能进入到虚拟机管理程序。
Brewster说:"我认为,到时你可以更清楚地了解、更有效地控制出现的情况,摸清虚拟机里面谁在和谁联系的情况。"
【编辑推荐】
