虚拟化技术隐患丛生　威胁计算机系统安全

ZDNetChina服务器站 8月30日虚拟化分析

    虚拟化技术，可以在一台计算机上运行多个操作系统及多个应用，这给IT经理的资产管理和IT资源保障提供了方便。但安全研究人员却警告这种新兴技术同时会给IT安全带来更多问题。

    在虚拟机上运行各种服务并保障系统安全要比在单一计算机上复杂的多。在虚拟环境下，不可能使用一种方案解决一切问题，必须要从人员、操作和技术等多个方面来考虑安全保障。虚拟化技术可以在一台物理计算机上虚拟出多台系统，可用于服务器、存储阵列等；这给IT部门的管理维护提供了方便。但分析人士提醒注意，虽然虚拟化技术的出现已经有好几年了，然而真正引起人们注意也就是在最近一些大公司的虚拟产品相继问世，Intel、微软、VMware以及IBM。在使用这些虚拟工具之前，要清楚一点，将多台服务器放在一台物理计算机上只能增加不安全性。

引起重视

    事实上，每个虚拟服务器本身面临同样的威胁；并且当一台计算机存在安全风险，其上所有的虚拟机和虚拟服务都存在风险。因此，虚拟服务器要多面临一层风险。IT部分通常没有能力跟踪虚拟机，所以在需要更新时就不能够更新补丁。同时虚拟机越摞越多，资产会增加得很快。即使IT人员能够正确跟踪所有虚拟机，还是存在问题，通常他们没有权限执行安全检查和更新。因此安全专家建议，企业应该安装专门的工具快速检测和发现虚拟机，并制定严格的策略，控制虚拟机的增加。同时，IT经理应该深入了解每个虚拟应用的业务依赖关系，理清头绪；并建立单独的针对虚拟机的补丁操作和管理策略。最后虚拟环境还会对网络访问控制造成一定影响；因此IT经理要制定网络访问控制策略，来控制每一台虚拟机的访问。当前，大多数网络还没有对虚拟技术引起足够重视。许多网络控制技术只是简单的禁止、放行，而不管其是否为虚拟机。

    另外，随着虚拟工具的大量应用，出现漏洞的可能性也越来越大，这个月，微软就修补了一个虚拟软件漏洞，并定位为严重级。安全专家称，随着虚拟技术的普及，这种漏洞会越来越多。

潜在危险

    IBM的安全专家将虚拟机监控工具列为一种严重的潜在虚拟机攻击平台，这种工具可以在一个系统上管理多个虚拟功能，这种监控软件通常位于硬件之上的一层，可以对其上层的操作系统和应用进行攻击。事实上，安全研究院已经从理论上证明了如何通过监控软件攻击虚拟机。例如，微软的研究员在今年早期研发了SubVirt，其可以使用rootkit在操作系统内安装一个虚拟机监控工具，通过努力就可以对多个虚拟机进行完全控制。与其类似，众所周知的还有Blue Pill，有了这些工具，就如同拿到了通向自由的钥匙。对于骇客来说，这些软件提供了大施拳脚的舞台。