【51CTO.com快譯】多年來，人們對虛擬化環(huán)境的安全性一直很擔心。許多人錯誤的認為，僅僅因為環(huán)境是虛擬化的，那么理所當然也就不會那么牢靠。實際情況并非如此。虛擬環(huán)境和物理環(huán)境大體上是一樣的，都會遭受相同的安全問題的困擾。

與此同時，也有來自不同陣營的觀點認為，虛擬化環(huán)境的出現(xiàn)大幅度提高了安全性，甚至從根本上改變了安全性的理念。事實當然也并非如此。

虛擬化確實帶來了變化，新增的hypervisor層（相關(guān)知識可參見“服務器虛擬化之三大技術(shù)完全破析”）也帶來了新的安全問題，但都并不是什么翻天覆地的變化。就像在一個環(huán)境中添加任何新的組件一樣——架構(gòu)師和系統(tǒng)工程師們需要正確教育自己，學習新的組件，然后在實施時做出徹底的規(guī)劃?！聦嵣?，51CTO.com也一直在介紹這方面的情況，并推出了“打造安全的虛擬化環(huán)境”技術(shù)專題。

為了了解更多有關(guān)虛擬化的安全問題，我找到了一個知名而且健談的安全專家，Edward L. Haletky，他是AstroArch咨詢公司的總裁，一位DABCC分析師，還是VMware的社區(qū)專家，而且出版過許多部作品。以下是我們的對話摘錄：

記者：在安裝VMware VI3時，最常見的安全性錯誤是什么？

Edward Haletky：那就是使用單層虛擬網(wǎng)絡（flat virtual network），因為這不能解決安全區(qū)域之間的差異問題。

記者：即將到來的VMware vSphere 4（51CTO.com編者注，VMware vSphere 4在4月下旬剛剛發(fā)布，VMware宣稱這是業(yè)內(nèi)首個云操作系統(tǒng)。）能夠有效的解決安全問題嗎，特別是那些VMware VI3沒能解決的問題？

Haletky：會有一些。VMsafe將使安全工具更加有效。然而，雖然不能說全部的功能改進，但大多數(shù)的功能改進都會增加受攻擊的表面積。

記者：那么你怎么看待新的VMsafe API？它會給我們帶來什么樣的變化呢？

Haletky：VMsafe將從根本上改變虛擬化的安全性，現(xiàn)在你可以通過它來建造工具，可以從中看到完整的虛擬主機。比如，原先管理虛擬網(wǎng)絡時每三個虛擬交換機就需要一個代理，現(xiàn)在則變成每臺VMware ESX/ESXi主機需要一個代理。然而，使用VMsafe應用也會增加攻擊表面積，因為你需要把運行代理的虛擬設(shè)備包括進來。因此，在虛擬機上使用單層虛擬網(wǎng)絡是絕對不應該再繼續(xù)的了。

記者：關(guān)于Catbird等第三方解決方案，你的看法是什么？還有VMware收購Blue Lane Technologies后將為我們帶來什么呢？

Haletky：我認為所有這些第三方工具比如Catbird的V-Security和Reflex System的vTrust等等將會與VMware的vShield Zones有一番激烈的競爭。它們在很多方面做的差不多，Zones整合得更好一些，但這兩個第三方工具目前提供的功能要遠遠超過Zones。[此前51CTO.com曾經(jīng)報道，VMware將向其VDC-OS平臺中增加vShield Zones安全服務，讓企業(yè)用戶可以在他們自己的數(shù)據(jù)中心內(nèi)創(chuàng)建所謂的“內(nèi)部”云環(huán)境。這與傳統(tǒng)IT基礎(chǔ)架構(gòu)中的隔離區(qū)有些類似，只不是這是基于虛擬機而不是物理設(shè)備的。]

記者：VMware的ESXi似乎更安全，因為它的“腳?。╢ootprint）”比較小。這是真的嗎，還是ESXi會和VI3有同樣多的安全問題？另外安全問題的類型一樣嗎？人們似乎還是對ESXi更放心一些？

Haletky：我認為VMware ESXi和ESX碰到的安全問題是一樣的。虛擬化的安全性方案不應僅僅是讓虛擬主機變得更強壯而已。即便如此，許多人還是錯誤的認為VMware ESXi更安全些。另外大多數(shù)人把ESXi當作一個設(shè)備，他們只是按照VMware的推薦來做一兩件事以提高安全性，但并不理會它的管理或訪問方式。此外，我相信，大多數(shù)人都會啟用ESXi的SSH功能。當他們這樣做的時候，實際上丟失了真正的安全性，因為ESXi內(nèi)部并沒有深度防御。

記者：你能否告訴我們，你所認為的與VMware有關(guān)的最重要的兩個或三個安全問題，而且是人們可能不知道的？

Haletky：第一個問題我剛才說過，就是使用單層虛擬網(wǎng)絡，而不是尋求更強大的保護措施。而這在使用VMsafe vApps時是十分必要的。

另一個情況是許多人錯誤的把自己的ESX主機服務控制臺和管理工具放在了防火墻的不同的兩邊。如果這樣做的話，實際上就已經(jīng)開放了許多不必要的端口。正確的做法是，他們應該把ESX管理控制臺和vCenter工具放在防火墻的同一側(cè)，并且限制只有一個協(xié)議可以訪問，比如加密的RDP協(xié)議。管理員應該以這種方式來訪問虛擬機和管理工具。

最后一個較常見的安全問題是不使用網(wǎng)絡/虛擬主機（network/virtualization host）的部署方式，這種安排可以阻止零日攻擊。錯誤的做法是直接部署到生產(chǎn)環(huán)境，這樣的話如果操作出錯，或者刪除了虛擬機，還是會有東西遺留在硬盤上。

記者：你認為VMware的hypervisor與競爭對手如Xen和Hyper-V相比，它的安全性是更高還是更低，或者差不多？

Haletky：這是一個很難回答的問題。hypervisor可能會更安全，但更關(guān)鍵是它周圍的東西是不是更安全。和VI3相比，由于納入了VMsafe和VMDirectPath，VMware vSphere 4的攻擊表面積也會變大。然而對于Xen和Hyper-V來說，它們也具有不同的攻擊表面積，彼此類似但是彼此不同。所以說hypervisor并不是最關(guān)鍵的，關(guān)鍵在于那些直接或間接的接觸到虛擬主機的東西。

記者：我們知道你有一本有關(guān)虛擬化的書很快就會出版。你要說些什么事情，書的重點是什么？

Haletky：書的名字叫做“VMware vSphere和虛擬底層架構(gòu)的安全性：確保ESX和虛擬環(huán)境的安全”，內(nèi)容就是關(guān)于所有這些直接或間接接觸的虛擬主機的東西，還有構(gòu)成虛擬環(huán)境的這些組件。是的，書中會講到怎樣讓ESX和ESXi變得更強壯，但不止這些，還會涉及到儲存、運算、管理、VDI、forensic等方面。這些方面在以前經(jīng)常被排除在虛擬化管理的范圍之外，但現(xiàn)在安全性的視角已經(jīng)擴大，所有這些方面都應該包括進來，因為它們肯定會影響到虛擬主機的安全性。

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Top security concerns in a virtualization environment  作者：David Marshall

【編輯推薦】

1. 專題：如何打造安全的虛擬環(huán)境
2. 觀點：迄今為止虛擬化安全領(lǐng)域一片空白
3. 五措施堵住虛擬化安全漏洞