虛擬化技術是雙刃劍 保證安全是關鍵

 

這種情況有時候稱作虛擬化“虛擬機躲避”，是安全專業人員真正擔心的問題并且能夠阻礙機構向虛擬化過渡。雖然這種類型的攻擊僅僅在VMware的工作站版本軟件中進行過演示，但是，研究人員有一天發展這種威脅能夠用于虛擬化平臺的方法，這種方法就會落入壞蛋的手中。

 

不過，攻擊者從一臺機器跳到另一臺機器上并不是一件新鮮事。最近AVSIM網站被黑客攻破，在攻破期間托管網站的物理服務器和這個網站的備份服務器都成為惡意黑客的受害者就是一個這樣的例子。

 

同任何新興的技術經常遇到的情況一樣，虛擬化的好處也是一把雙刃劍。例如，虛擬機移植性是一項有幫助的功能，允許虛擬機從一臺物理主機方便地遷移到另一臺主機。虛擬機能夠備份、作為一個“黃金鏡像”存檔以便重新生成同樣的系統、并且可以進行快照以便用于快速回復。但是，這種移植性的方便性能夠產生一些潛在的問題。

 

第一個可能的問題是虛擬機蔓延。能夠快速和方便地不熟服務器并不意味著你應該這樣做。適當地進行規劃是必要的并且虛擬機清單要更新以反應每一個新的服務器的狀況。部署一個虛擬機進行一項快速測試并且在使用之后忘記撤銷這個虛擬機或者在管理軟件更新之后意外地啟動這個虛擬機，就會在你的網絡中產生一個沒有人照看的有安全漏洞的系統，只能等著被黑客攻破。

 

可移植性的第二個問題是數據竊賊現在能夠竊取你的整個虛擬化的服務器。這種情況在物理服務器環境中是不可能出現的。一個攻擊者不能滲透到你的任何敏感的生產服務器，但是能夠滲透到你的備份服務器。如果攻擊者能夠竊取一個虛擬機，他就能夠像坐在物理服務器前面一樣訪問那個服務器的內容。正如我們都知道的那樣，物理服務器訪問就意味著游戲結束了。

 

一些虛擬化廠商一直在研究圍繞虛擬化技術的這些安全問題并且研究一些方法以緩解期產品可能出現的問題。虛擬化廠商現在要解決的兩個主要問題是在同一臺物理主機上虛擬機通訊的可見性和如果一臺或者更多的物理主機出現故障之后的業務持續性。后一個問題已經通過高可用性配置和無聊服務器集群部分地解決了。但是，VMware和思杰都希望最終確定各自的解決方案VMware FT(容錯)和Marathon everRun VM。

 

在網絡方面，每一個虛擬化廠商都在采用某種類型的基本虛擬交換機，讓虛擬機的之間能夠相互通訊并且允許進出物理主機的通訊。這個結果產生的問題是虛擬交換機上的通訊對于防火墻、代理以及入墻檢測系統/入侵防御系統等傳統的物理安全設備是不可見的。因此，VMware去年發布了VMsafe API(應用程序編程接口)，從而使一些廠商最近發布了一些產品幫助幫助網絡專業人員觀察虛擬機之間的通訊情況。這些新產品包括Lancope StealthWatch FlowSensor VE、思科Nexus 1000V和Altor Networks Altor VF。

 

安全肯定不是推動虛擬化增長的因素，但是，安全也不是虛擬化應用的交易殺手。恰當的設計和清單以及保持虛擬化軟件補丁、安全問題和新的安全解決方案的最新更新將有助于你緩解把這樣多的虛擬雞蛋放在一個籃子里的不安。