有专家提示,虚拟机和物理服务器相同或许遭受潜在的安全进犯,以及办理器技能或许存在的缝隙带来的危险。
服务器虚拟化能够完成在更少的硬件资源上运转更多的操作体系和运用,用户运用服务器虚拟化技能能够依据需求更快地对新资源进行分配。可是这种灵活性使担任网络和安全的司理们产生这样一个担忧,是否虚拟环境下的安全危险会蔓延到整个网络上?
Exactech的网络办理员Craig Bush表明:“之所以咱们暂时不考虑选用服务器虚拟化技能便是由于我听说了虚拟办理器或许带来的安全危险。”
以下是现在人们在虚拟环境下最为重视的四个安全问题:
1、虚拟机或许带来的安全问题
IT司理们忧虑针对虚拟机的安全进犯或许会影响到在同一主机环境下的虚拟机。假如一台虚拟机能够“避开”他所在的独立环境而与配套的虚拟办理器协同作业的话,那么进犯者就无法攻进办理其他虚拟机的虚拟办理器,也就不用专门针对维护虚拟机而进行安全操控了。
“虚拟国际中安全问题的尚方宝剑便是避开虚拟机,把握对虚拟机和虚拟环境的操控。”Burton Group高档分析师Pete Lindstrom最近在一个有关虚拟化技能安全问题的网络播送中这样说道。
尽管已经有了许多测验这种避开虚拟机的比如,可是还有人指呈现在还没有呈现在虚拟机安全方面产生的灾祸毛病。
Catapult Systems公司咨询师Steve Ross表明:“在我看来,现在还没有哪个黑客能够经过虚拟办理器将安全问题从一个虚拟主机上转移到另一个虚拟主机上。”
美国缅因州Bowdoin College大学体系工程师Tim Antonowicz表明:“或许这种状况会产生,黑客或许进犯者或许从一个虚拟机上转移到另一个虚拟机,可是到现在为止我还没有发现有任何的功用中止状况。”Antonowicz运用了VMware ESX来进行服务器虚拟化,他依据虚拟机上的数据信息和运用的灵敏性程度,将虚拟机从资源集群中阻隔出来,从而将安全隐患降到最低水平。他说:“你不得不以这种方法将虚拟机阻隔开来,这样才干加强安全性。”
美国芝加哥Cars.com公司技能操作总监Edward Christensen也采纳相同的做法对架构中的虚拟机进行阻隔。他说:“保证IT环境安全的一般做法便是在数据库和运用层之间树立防火墙。可是当你处在虚拟环境下,问题就杂乱多了。”这家在线汽车公司运用虚拟机来对其装备的惠普服务器进行虚拟化,在网络外存储虚拟环境能够从必定程度上缓解安全问题。
2、为虚拟机打补丁
虚拟机的遍及会带来一个问题:虚拟机开发的简易性会导致更多预期之外的运用实例呈现,尤其是在虚拟环境下对操作体系的晋级和更新。
Burton Group分析师Lindstrom表明:“由于这些虚拟机并不是固定的,所以为这些虚拟机打补丁成为一个严峻应战,在虚拟国际中保证一台虚拟机上的补丁程序的合法化是非常重要的。”
IT司理都表明认同打补丁是虚拟环境下一项重要作业,可是他们之间的不合首要会集在为虚拟服务器打补丁和为物理服务器打补丁并不是一个安全问题,而是卷容量问题。
Catapult公司分析师Ross表明:“咱们需求谨记一点,虚拟服务器和物理服务器相同需求进行补丁办理和补丁维护。”Transplace有三种虚拟环境,其间两个是在网络中而另一个是在DMZ中(包含大约150台虚拟机),“虚拟办理器为晋级更新添加了新的层,可是打补丁这项作业不管在虚拟机仍是物理机上都是十分重要的。”
在Antonowicz看来,现在虚拟机遍及运用之后首先要面对一个优先考虑的问题,由于当在他直接办理下的虚拟机数量添加时,也就意味着为虚拟机打补丁所花费的时刻更长了。早曩昔,他要给40台服务器打补丁,而现在这个数量添加到了80台,他期望有一天能够运用一款专门的东西来主动完结这个打补丁的作业。
他说:“假如不加以强行操控的话,虚拟环境就会疯涨。在咱们引进更多的虚拟机设备前,我期望业界能够推出一款专门打补丁的主动化东西。”
3、在DMZ上运转虚拟机
一般许多IT司理都会防止将虚拟服务器在DMZ中运转,而其他IT司理则不会在DMZ或那些被企业级防火墙维护的虚拟机中运转要害事务运用。可是Burton Group分析师Lindstrom指出,只需有恰当的安全维护措施,用户完全能够将虚拟服务器在DMZ中运转。他说:“只需防火墙或其他独立设备是物理环境下的,你就能够在DMZ中运用虚拟化技能。大多数状况下,只需你将资源分脱离,就能够定心的运转运用了。”
许多IT司理都开端着手将他们的虚拟服务器进行别离,并设置在企业级防火墙的维护下。Transplace公司IT架构总监Scott Engle以为,有价值的东西都在防火墙维护下,那些在DMZ中运转的虚拟机运用包含DNS等服务。
Engle表明:“咱们在保管主机中运转虚拟机。在DMZ中,咱们将运转带有少数VMware实例的物理服务器,可是咱们不会将保管服务器和未保管网络连接起来。”
4、新引进的虚拟办理器技能或许会让黑客有隙可乘
任何一套新的操作体系都或许有许多缝隙,这也就意味着黑客们也会竭力找出虚拟操作体系丧命缺点以宣布安全进犯。
业界观察家主张安全司理应该慎重对待虚拟操作体系,这些虚拟操作体系或许带来的安全隐患恐怕不是一切手动操作都能处理的。
Ptak,Noel and Associates的首席分析师Richard L. Ptak表明:“虚拟体系实际上是一套全新的操作体系,能够完成底层硬件和环境的严密交互,或许带来的办理换乱问题不容忽视。”
可是,虚拟办理器或许带来的安全隐患或许比人们幻想中的少。像VMware等公司都开端致力于最大程度上下降虚拟办理器技能或许存在的安全缝隙。
Internet Research Group首席分析师Peter Christy表明:“VMware此举是一个很好的演示。可是一个办理器仅仅是出于表层的一小部分代码,要比保证8000万行代码的安全性要简单多了。”
