去年的時(shí)候，美國(guó)斯坦福醫(yī)院將一般性的應(yīng)用程序從傳統(tǒng)的服務(wù)器平臺(tái)轉(zhuǎn)移到Vmware虛擬機(jī)器上，并發(fā)現(xiàn)在安全方面有明顯的不足。

該醫(yī)院的信息安全人員Mike Mucha表示，“我們改變了IT基礎(chǔ)設(shè)施的性質(zhì)，然而虛擬化的影響還存在不確定性。虛擬器開(kāi)始演變?yōu)榉?wù)器組件的衍生物，主要由服務(wù)器組來(lái)控制，但是虛擬化的交換方面意味著傳統(tǒng)網(wǎng)絡(luò)本身被改變了?！?/P>

在虛擬化世界里，已經(jīng)開(kāi)始出現(xiàn)了一些安全問(wèn)題，諸如在何處部署入侵檢測(cè)和管理系統(tǒng)或者防火墻等。

虛擬機(jī)在安裝和卸載VM方面有著非?？斓乃俣?，但是這種速度也可能帶來(lái)另一方面的影響。

Mucha認(rèn)為，應(yīng)該為Vmware的ESX服務(wù)器和管理控制臺(tái)添加另一層安全控制來(lái)加強(qiáng)安全性，主要通過(guò)從啟動(dòng)HyTrust來(lái)插入政策執(zhí)行應(yīng)用設(shè)備來(lái)實(shí)現(xiàn)。HyTrust控制設(shè)備對(duì)管理員和用戶決策進(jìn)行控制，并且能夠增加針對(duì)虛擬機(jī)入侵檢測(cè)的功能。

Mucha表示，在涉及到虛擬化時(shí)，出現(xiàn)的相關(guān)的安全風(fēng)險(xiǎn)已經(jīng)得到相應(yīng)解決，特別是當(dāng)思科、Juniper和其他傳統(tǒng)交換機(jī)廠商推出更先進(jìn)的虛擬化交換技術(shù)的情況下。

其他安全專家也警告說(shuō)，虛擬化確實(shí)將帶來(lái)新的風(fēng)險(xiǎn)，但是大家應(yīng)該正確看待這些風(fēng)險(xiǎn)，尤其是那些歸屬于監(jiān)管部門的企業(yè)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，任何涉及處理對(duì)于那些對(duì)虛擬化完全沒(méi)有經(jīng)驗(yàn)的人來(lái)說(shuō)，“如果你已經(jīng)做了選擇，我強(qiáng)烈建議你不要為任何需要接受合規(guī)的項(xiàng)目部署虛擬化技術(shù)，”IBM公司的互聯(lián)網(wǎng)安全系統(tǒng)部的主要安全策略師Joshua Corman在近日召開(kāi)的Interop會(huì)議上表示。

Joshua表示，虛擬化帶來(lái)新的攻擊面、業(yè)務(wù)以及供應(yīng)風(fēng)險(xiǎn)和復(fù)雜的功能(如在線遷移等)，在線遷移功能能夠?qū)⑻摂M機(jī)從一臺(tái)物理服務(wù)器轉(zhuǎn)移到另一個(gè)服務(wù)器，這也帶來(lái)新的攻擊可能性，數(shù)據(jù)中心管理人員可能會(huì)擔(dān)心他們的虛擬機(jī)被轉(zhuǎn)移到欠安全的服務(wù)器上。

對(duì)于生產(chǎn)環(huán)境中虛擬化技術(shù)的使用，Corman強(qiáng)烈推薦Type 1虛擬：直接在硬件上運(yùn)行的虛擬裸機(jī)，Type 2托管虛擬：通常用于測(cè)試和開(kāi)發(fā)環(huán)境。

他還指出，PCI DSS讓問(wèn)題更加復(fù)雜化了，因?yàn)樵摌?biāo)準(zhǔn)建議每隔服務(wù)器只能有一個(gè)主要智能，這可能是意味著服務(wù)器根本不應(yīng)該被虛擬化，這樣才能符合PCI DSS標(biāo)準(zhǔn)。認(rèn)識(shí)到這件事情的不確定性，PCI安全標(biāo)準(zhǔn)委員會(huì)計(jì)劃在今年年底將為虛擬化和支付卡處理過(guò)程增加新的規(guī)定。

在合規(guī)行業(yè)的安全管理人員都以非常警惕的態(tài)度對(duì)待虛擬化技術(shù)。金融服務(wù)公司Barclays銀行的安全架構(gòu)和標(biāo)準(zhǔn)主管Lynn Terwoerds表示，在當(dāng)前的經(jīng)濟(jì)局勢(shì)下，企業(yè)們都在想盡辦法節(jié)省開(kāi)支，這也是很多企業(yè)選擇虛擬化技術(shù)的原因，但是如果虛擬化可能帶來(lái)高風(fēng)險(xiǎn)和安全問(wèn)題，這些節(jié)省下來(lái)的開(kāi)支就可能導(dǎo)致更大的損失。Terwoerds在上個(gè)月舉行的RSA會(huì)議的專題小組討論會(huì)上表示，“對(duì)于虛擬化安全問(wèn)題，我還很擔(dān)心?！?/P>

最近Barclay銀行正在研究部署虛擬化技術(shù)的影響，在銀行技術(shù)決策中發(fā)揮作用的風(fēng)險(xiǎn)和審計(jì)人員一直在問(wèn)，“虛擬化部署將帶來(lái)怎樣的新風(fēng)險(xiǎn)，你能夠以任何方式降低這種風(fēng)險(xiǎn)嗎?”

Terwoerds表示，能夠確定這些問(wèn)題的數(shù)據(jù)是很難在銀行環(huán)境得出來(lái)的，因?yàn)殂y行必須符合很多涉及數(shù)據(jù)保留的條例以及SOX法案的條例，根本沒(méi)有空閑來(lái)統(tǒng)計(jì)這些數(shù)據(jù)。我們還想要明確界定客戶的數(shù)據(jù)存放的位置，PCI標(biāo)準(zhǔn)規(guī)定就像給虛擬化部署“潑了一桶冷水”。

雖然，今天國(guó)內(nèi)虛擬化應(yīng)用尚未完全大規(guī)模普及，但是虛擬化的更大的問(wèn)題并不僅僅是需要被大家理解的技術(shù)問(wèn)題，而是如何管理供應(yīng)商和合同問(wèn)題，尤其是受到監(jiān)管部門監(jiān)管的情況下。詳細(xì)，隨著IT業(yè)務(wù)的快速發(fā)展，以及節(jié)能降耗呼聲的增加，虛擬化技術(shù)在國(guó)內(nèi)所面臨的問(wèn)題將越來(lái)越多。

【編輯推薦】

1. 如何解決服務(wù)器虛擬化的三大風(fēng)險(xiǎn)
2. 2008年虛擬化市場(chǎng)盤點(diǎn)
3. 經(jīng)濟(jì)衰退引發(fā)虛擬化技術(shù)成熟