專家指出安全減緩服務器虛擬化發展

中國IDC圈6月8日報道：去年的時候，美國斯坦福醫院將一般性的應用程序從傳統的服務器平臺轉移到Vmware虛擬機器上，并發現在安全方面有明顯的不足。

該醫院的信息安全人員Mike Mucha表示，“我們改變了IT基礎設施的性質，然而虛擬化的影響還存在不確定性。虛擬器開始演變為服務器組件的衍生物，主要由服務器組來控制，但是虛擬化的交換方面意味著傳統網絡本身被改變了。”

在虛擬化世界里，已經開始出現了一些安全問題，諸如在何處部署入侵檢測和管理系統或者防火墻等。

虛擬機在安裝和卸載VM方面有著非�？斓乃俣�，但是這種速度也可能帶來另一方面的影響。

Mucha認為，應該為Vmware的ESX服務器和管理控制臺添加另一層安全控制來加強安全性，主要通過從啟動HyTrust來插入政策執行應用設備來實現。HyTrust控制設備對管理員和用戶決策進行控制，并且能夠增加針對虛擬機入侵檢測的功能。

Mucha表示，在涉及到虛擬化時，出現的相關的安全風險已經得到相應解決，特別是當思科、Juniper和其他傳統交換機廠商推出更先進的虛擬化交換技術的情況下。

其他安全專家也警告說，虛擬化確實將帶來新的風險，但是大家應該正確看待這些風險，尤其是那些歸屬于監管部門的企業，如支付卡行業數據安全標準，任何涉及處理支付卡業務的企業都需要遵守該標準。

對于那些對虛擬化完全沒有經驗的人來說，“如果你已經做了選擇，我強烈建議你不要為任何需要接受合規的項目部署虛擬化技術，”IBM公司的互聯網安全系統部的主要安全策略師Joshua Corman在近日召開的Interop會議上表示。

Joshua表示，虛擬化帶來新的攻擊面、業務以及供應風險和復雜的功能（如在線遷移等），在線遷移功能能夠將虛擬機從一臺物理服務器轉移到另一個服務器，這也帶來新的攻擊可能性，數據中心管理人員可能會擔心他們的虛擬機被轉移到欠安全的服務器上。

對于生產環境中虛擬化技術的使用，Corman強烈推薦Type 1虛擬：直接在硬件上運行的虛擬裸機，Type 2托管虛擬：通常用于測試和開發環境。

他還指出，PCI DSS讓問題更加復雜化了，因為該標準建議每隔服務器只能有一個主要智能，這可能是意味著服務器根本不應該被虛擬化，這樣才能符合PCI DSS標準。認識到這件事情的不確定性，PCI安全標準委員會計劃在今年年底將為虛擬化和支付卡處理過程增加新的規定。

在合規行業的安全管理人員都以非常警惕的態度對待虛擬化技術。金融服務公司Barclays銀行的安全架構和標準主管Lynn Terwoerds表示，在當前的經濟局勢下，企業們都在想盡辦法節省開支，這也是很多企業選擇虛擬化技術的原因，但是如果虛擬化可能帶來高風險和安全問題，這些節省下來的開支就可能導致更大的損失。Terwoerds在上個月舉行的RSA會議的專題小組討論會上表示，“對于虛擬化安全問題，我還很擔心。”

最近Barclay銀行正在研究部署虛擬化技術的影響，在銀行技術決策中發揮作用的風險和審計人員一直在問，“虛擬化部署將帶來怎樣的新風險，你能夠以任何方式降低這種風險嗎？”

Terwoerds表示，能夠確定這些問題的數據是很難在銀行環境得出來的，因為銀行必須符合很多涉及數據保留的條例以及SOX法案的條例，根本沒有空閑來統計這些數據。我們還想要明確界定客戶的數據存放的位置，PCI標準規定就像給虛擬化部署“潑了一桶冷水”。

雖然，今天國內虛擬化應用尚未完全大規模普及，但是虛擬化的更大的問題并不僅僅是需要被大家理解的技術問題，而是如何管理供應商和合同問題，尤其是受到監管部門監管的情況下。詳細，隨著IT業務的快速發展，以及節能降耗呼聲的增加，虛擬化技術在國內所面臨的問題將越來越多。