|
虚拟化的安全到底怎么样尽管虚拟化技术并不是天生容易受到攻击,但是虚拟化管理员和安全管理员在接受的安全教育方面之间有着巨大差异,这常常导致部署的虚拟服务器不安全。 管理虚拟机散乱现象 据信息技术研究集团的Sloan声称,使用虚拟机的其中一个最大好处就是,虚拟机与底层硬件更加隔离开来。他说:“如果虚拟机受到了病毒感染,或者遭到了某种方式的恶意攻击,造成的危害可以减小到最低程度,因为很容易隔绝这个虚拟机,并且终止运行。” Sloan表示,但是尽管虚拟机本身可能更具有弹性,但是安全监控和管理工作对运行关键任务的虚拟机来说仍必不可少。他说:“从总体上来看,管理就应当这样;如果你没有为虚拟机落实相应的策略或者程序,就会面临更大的风险。你一定要有足够完善的安全管理,才能跟踪及管理虚拟机。” 现在大多数人都会认同这一点:很难闯入物理数据中心、窃取大批数据。但是你有没有想过这一幕:攻击者不用步入你的数据中心,只要创建虚拟机,就可以用它来访问敏感数据?Haletky说,很可能你不会知道发生了这种事。 他说:“如果你采用虚拟化技术,安全性并没有因此而增强,实际上反而减弱了。另一个重要原因就是你现在面临虚拟机散乱(VM sprawl)现象。” 今年年初Verizon Business公司撰写的一份最新报告发现,27%的攻击来自意料之外的系统连接;10%来自以不合适的权限访问系统。 “管理员不知道有机器存在,”Haletky说,“有了虚拟化技术,新的虚拟机极其容易部署到环境里面;如果不加以控制、治理或者核实,那么这种容易部署虚拟机的优点反而会带来安全问题。” Haletky表示,除非公司落实了合适的审计机制,否则要是有人未经授权在公司网络上创建虚拟机,数据中心就会继续容易受到这些公司不知道存在的虚拟机的攻击。他表示,IT管理员的解决办法就是,采用某一种工作流审批流程,对系统进行监控及审计。 Haletky说:“目前,虚拟化安全离不开一大批审计机制;你需要审计、需要获得报告,还需要接到通知。如果你在这些方面都做得很到位,就完全具有领先优势。”不过强大审计机制面临的最大障碍却是这个事实:目前市面上还没有一款优秀的工具。 Haletky说:“现在其实没有工具可以告诉你已经添加了一个新的虚拟机,你得自己去查看。如果使用VMware ESXi,你可以在虚拟机运行的时候接到报警;还能收到反映这个情况的电子邮件。但是你其实得不到表明虚拟机在做什么的任何信息。” Haletky说,要关注的不仅仅是网络安全。如今现有的三大安全监控指导原则(包括VMware、CISecurity和DISA/STIG的指导原则)都不是太深入,没有为期望把ESX服务器审计和监控机制付诸实践的用户提供启动脚本。他表示,这些指导原则概述了需要审计的部分内容,但远远不够全面。 据Haletky声称,另一个固有的问题就是,大多数虚拟化管理员完全从网络的角度来看待虚拟安全。Haletky说:“保护虚拟环境不仅仅包括服务控制台、管理设备和网络;还包括存储、备份、灾难恢复和业务连续性等方面,它几乎包括每个方面,而每个特定方面都有相应工具。” 他又说,虚拟机的攻击面变得越来越大,全人们根本没有认识到这一点。“把虚拟机放在虚拟服务器里面――不管你使用的是哪家厂商的技术,这并不会为你带来足够的保护。网络安全对你大有帮助,但我不敢肯定光有网络安全就够了。” 如果你找不到或者请不起虚拟化安全专家来帮你入手,专家们建议公司只要找一名了解虚拟化技术的安全技术人员。对大多数公司来说,这归结为先进行风险分析,然后最终确定自己需要哪种监控流程。 他说:“如果你看一看外面针对虚拟服务器应用部署的许多设计方案,就会发现设计方案中根本没有提到安全。他们说,我们要部署虚拟化技术;我们要节省成本、减少散热,但他们就是没有说我们要确保安全。” 责编:刘沙 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|