虚拟化配置的安全问题

    ZDNetChina服务器站 12月4日虚拟化技术分析  有专家提示，虚拟机和物理服务器一样可能遭受潜在的安全攻击，以及管理器技术可能存在的漏洞带来的风险。

    服务器虚拟化可以实现在更少的硬件资源上运行更多的操作系统和应用，用户使用服务器虚拟化技术可以根据需要更快地对新资源进行分配。但是这种灵活性使负责网络和安全的经理们产生这样一个忧虑，是否虚拟环境下的安全风险会蔓延到整个网络上？

    Exactech的网络管理员Craig Bush表示：“之所以我们暂时不考虑采用服务器虚拟化技术就是因为我听说了虚拟管理器可能带来的安全风险。”

    以下是目前人们在虚拟环境下最为关注的五个安全问题：

1、虚拟机可能带来的安全问题

    IT经理们担心针对虚拟机的安全攻击可能会影响到在同一主机环境下的虚拟机。如果一台虚拟机可以“避开”他所处的独立环境而与配套的虚拟管理器协同工作的话，那么攻击者就无法攻进管理其他虚拟机的虚拟管理器，也就不必专门针对保护虚拟机而进行安全控制了。

    “虚拟世界中安全问题的尚方宝剑就是避开虚拟机，掌握对虚拟机和虚拟环境的控制。”Burton Group高级分析师Pete Lindstrom最近在一个有关虚拟化技术安全问题的网络广播中这样说道。

    虽然已经有了许多尝试这种避开虚拟机的例子，但是还有人指出目前还没有出现在虚拟机安全方面发生的灾难故障。

    Catapult Systems公司咨询师Steve Ross表示：“在我看来，目前还没有哪个黑客可以通过虚拟管理器将安全问题从一个虚拟主机上转移到另一个虚拟主机上。”

    美国缅因州Bowdoin College大学系统工程师Tim Antonowicz表示：“也许这种情况会发生，黑客或者攻击者可能从一个虚拟机上转移到另一个虚拟机，但是到目前为止我还没有发现有任何的功能中断情况。”Antonowicz应用了VMware ESX来进行服务器虚拟化，他根据虚拟机上的数据信息和应用的灵敏性程度，将虚拟机从资源集群中隔离出来，从而将安全隐患降到最低水平。他说：“你不得不以这种方式将虚拟机隔离开来，这样才能加强安全性。”

    美国芝加哥Cars.com公司技术操作总监Edward Christensen也采取相同的做法对架构中的虚拟机进行隔离。他说：“确保IT环境安全的通常做法就是在数据库和应用层之间建立防火墙。但是当你处在虚拟环境下，问题就复杂多了。”这家在线汽车公司使用虚拟机来对其配置的惠普服务器进行虚拟化，在网络外存储虚拟环境可以从一定程度上缓解安全问题。

2、为虚拟机打补丁

    虚拟机的普及会带来一个问题：虚拟机开发的简易性会导致更多预期之外的应用实例出现，尤其是在虚拟环境下对操作系统的升级和更新。

    Burton Group分析师Lindstrom表示：“因为这些虚拟机并不是固定的，所以为这些虚拟机打补丁成为一个严峻挑战，在虚拟世界中确保一台虚拟机上的补丁程序的合法化是非常重要的。”

    IT经理都表示认同打补丁是虚拟环境下一项重要工作，但是他们之间的分歧主要集中在为虚拟服务器打补丁和为物理服务器打补丁并不是一个安全问题，而是卷容量问题。

    Catapult公司分析师Ross表示：“我们需要谨记一点，虚拟服务器和物理服务器一样需要进行补丁管理和补丁维护。”Transplace有三种虚拟环境，其中两个是在网络中而另一个是在DMZ中（包括大约150台虚拟机），“虚拟管理器为升级更新添加了新的层，但是打补丁这项工作无论在虚拟机还是物理机上都是十分重要的。”

    在Antonowicz看来，现在虚拟机普遍应用之后首先要面临一个优先考虑的问题，因为当在他直接管理下的虚拟机数量增加时，也就意味着为虚拟机打补丁所花费的时间更长了。早过去，他要给40台服务器打补丁，而现在这个数量增加到了80台，他希望有一天能够使用一款专门的工具来自动完成这个打补丁的工作。

    他说：“如果不加以强行控制的话，虚拟环境就会疯涨。在我们引进更多的虚拟机设备前，我希望业内能够推出一款专门打补丁的自动化工具。”