【51CTO.com快譯6月24日外電頭條】2009年走過(guò)了將近一半，我們看到虛擬服務(wù)器正在按部就班的發(fā)展。所有之前的瘋狂預(yù)測(cè)，包括第三方虛擬化API、虛擬NIC驅(qū)動(dòng)、大規(guī)模客戶升級(jí)，還有對(duì)hypervisor的入侵，暫時(shí)還沒(méi)有大規(guī)模爆發(fā)的跡象，但關(guān)于虛擬化未來(lái)美好的前景而言，是毋庸置疑的，有興趣的讀者可以參看51CTO.com的獨(dú)家報(bào)道《51CTO獨(dú)家調(diào)查：中國(guó)虛擬化應(yīng)用才剛上路》《虛擬化在中國(guó)系列：萬(wàn)網(wǎng)CTO談虛擬化在IDC》。

關(guān)于虛擬化的安全性，在真實(shí)世界中唯一出現(xiàn)的主要供應(yīng)商的脆弱性報(bào)告是微軟的升級(jí)漏洞，而這是有關(guān)Xbox 360中運(yùn)行的嵌入hypervisor，在Hyper-V或Virtual PC中沒(méi)有發(fā)現(xiàn)漏洞。

無(wú)論如何，虛擬化已經(jīng)成為主流，在過(guò)去幾年中虛擬機(jī)大量占據(jù)了數(shù)據(jù)中心，IT安全專家們?cè)诓粩嘀貜?fù)著hypervisor如果受侵會(huì)帶來(lái)的可怕后果。黑帽大會(huì)在繼續(xù)討論潛在的風(fēng)險(xiǎn)和漏洞。Gartner預(yù)計(jì)去年年底hypervisor就會(huì)出現(xiàn)需要修補(bǔ)的大漏洞，很高興他們沒(méi)有預(yù)測(cè)對(duì)。而VMware在2008年也發(fā)布了19個(gè)小型的安全補(bǔ)丁，甚至有人提出《安全仍是服務(wù)器虛擬化發(fā)展的最大阻力》。

但現(xiàn)實(shí)情況是，虛擬化是簡(jiǎn)單的軟件問(wèn)題。它本質(zhì)上還是軟件，無(wú)論怎樣嚴(yán)格書寫，效率有多高，在代碼和設(shè)計(jì)上總會(huì)出現(xiàn)缺陷，并且會(huì)越來(lái)越多，這和任何復(fù)雜的，廣泛流行的應(yīng)用程序都是一樣的，51CTO.com的讀者可以通過(guò)查看《使用虛擬化最常見(jiàn)的安全問(wèn)題》，避免一部分虛擬化安全陷阱。

因此，什么才是最可能出現(xiàn)的威脅？虛擬服務(wù)器只是服務(wù)器。虛擬化的硬件抽象和靈活性讓你能夠更容易地進(jìn)行創(chuàng)建、部署和安排，同時(shí)也更容易出現(xiàn)問(wèn)題甚至丟失。在虛擬世界，你的最大威脅不是揮舞著BIOS病毒或者想方設(shè)法控制主機(jī)的壞人。相反，最薄弱的環(huán)節(jié)可能是你自己，如果你缺乏規(guī)劃，不知道怎樣照顧、維護(hù)和管理狂野的虛擬農(nóng)場(chǎng)。如果51CTO.com的讀者對(duì)虛擬化的安全問(wèn)題有興趣，可以參看《如何降低服務(wù)器虛擬化的四大安全風(fēng)險(xiǎn)》。

搭建常規(guī)防御

無(wú)論是小型還是大型的虛擬商店都有一個(gè)長(zhǎng)長(zhǎng)的安全問(wèn)題清單。你應(yīng)該關(guān)注潛在的漏洞，避免客戶虛擬機(jī)威脅到主機(jī)或hypervisor，信息安全咨詢公司Neohapsis的CTO Greg Shipley說(shuō)，但你應(yīng)該更關(guān)心沒(méi)打補(bǔ)丁的客戶虛擬機(jī)，防止它們遺忘在測(cè)試主機(jī)，或者由于不完善的現(xiàn)場(chǎng)遷移規(guī)則在主機(jī)間穿梭。

每個(gè)人都可以從基本的風(fēng)險(xiǎn)管理思想中受益，Shipley說(shuō)。大多數(shù)企業(yè)都有基本的安全設(shè)計(jì)和底層架構(gòu)，用來(lái)搭建物理和虛擬環(huán)境。雖然是老生常談，但從總體上解決安全問(wèn)題比任何單一用途的虛擬機(jī)工具都更有效。也可以說(shuō)，先把你的物理環(huán)境搭建好，然后才能談到虛擬機(jī)的安全問(wèn)題。

任何沒(méi)打補(bǔ)丁的服務(wù)器都會(huì)帶來(lái)安全風(fēng)險(xiǎn)，更不用說(shuō)那些管理權(quán)下放給業(yè)務(wù)部門或開(kāi)發(fā)團(tuán)隊(duì)的測(cè)試或生產(chǎn)虛擬機(jī)，這是嚴(yán)重的風(fēng)險(xiǎn)所在。即使你擁有自動(dòng)化的補(bǔ)丁管理系統(tǒng)或正式的內(nèi)部補(bǔ)丁管理策略，你仍不能百分百的確信所有的虛擬機(jī)操作系統(tǒng)和應(yīng)用實(shí)例都是最新的。攻擊者將會(huì)搜尋你的網(wǎng)絡(luò)，從普遍的漏洞開(kāi)始，比如沒(méi)打補(bǔ)丁的Win2K3服務(wù)器上的漏洞。壞人不會(huì)在乎服務(wù)器是物理的還是虛擬的，他們只是尋找可以攻破的目標(biāo)。

傳統(tǒng)的自動(dòng)修補(bǔ)策略不考慮離線服務(wù)器。在物理世界中，一個(gè)斷了電的服務(wù)器是無(wú)法工作的。但在虛擬世界，暫?；虼鏅n的服務(wù)器可以通過(guò)虛擬化補(bǔ)丁管理工具進(jìn)行更新。虛擬機(jī)模板和基準(zhǔn)鏡像必須保證維護(hù)和修補(bǔ)，當(dāng)然我們也不妨從原始的物理機(jī)安全防御體系中吸取營(yíng)養(yǎng)，有興趣的讀者可以參看51CTO.com的文章《虛擬IDC可借鑒傳統(tǒng)IDC安全防范手段》。

將單點(diǎn)故障降到最低

假設(shè)所有的服務(wù)器都在你控制之下，那就來(lái)解決其他的共同風(fēng)險(xiǎn)。如果你想進(jìn)一步鞏固服務(wù)器，請(qǐng)留意單點(diǎn)故障。在供應(yīng)商免費(fèi)提供的入門級(jí)平臺(tái)上運(yùn)行多個(gè)生產(chǎn)虛擬機(jī)不會(huì)讓你省錢。它們性能受限，或這沒(méi)有現(xiàn)場(chǎng)遷移能力，這還意味著你的虛擬機(jī)都被困在同一臺(tái)物理服務(wù)器上。如果有一天這臺(tái)物理服務(wù)器出了問(wèn)題，你所有的虛擬機(jī)都會(huì)掉線，多個(gè)系統(tǒng)都會(huì)中斷，而根據(jù)51CTO.com之前的文章《虛擬機(jī)數(shù)量增加意味著安全風(fēng)險(xiǎn)加大》。

在過(guò)去，你可以靠傳統(tǒng)的一臺(tái)服務(wù)器一個(gè)盒子的模型合理的避開(kāi)風(fēng)險(xiǎn)和硬件故障。但在虛擬世界里，隨著每臺(tái)主機(jī)上的客戶機(jī)越來(lái)越多，風(fēng)險(xiǎn)也越來(lái)越大。因此，在試圖通過(guò)整合來(lái)節(jié)省資金的同時(shí)，也必須準(zhǔn)備好以防萬(wàn)一的計(jì)劃。

基本的設(shè)計(jì)方案應(yīng)該包括至少三臺(tái)主機(jī)，提供現(xiàn)場(chǎng)遷移選擇，增強(qiáng)高峰性能，以及保證硬件升級(jí)、維護(hù)和打補(bǔ)丁的靈活性，確保不出現(xiàn)生產(chǎn)中斷。幾乎所有的虛擬化供應(yīng)商都已經(jīng)增加了入門級(jí)的功能，但獲得真正高可用性的唯一方法也只有支付更高的許可費(fèi)，你需要從虛擬化節(jié)約的成本中劃出這部分費(fèi)用。

在軟件支持上，Citrix的XenServer提供免費(fèi)的XenMotion，具有高可用性功能。微軟承諾Hyper-V今年晚些時(shí)候也會(huì)具有現(xiàn)場(chǎng)遷移能力。VMware的vSphere Essentials Plus針對(duì)小企業(yè)提供三臺(tái)服務(wù)器的集中管理，具有高可用性，而更進(jìn)一步的vSphere Advanced擁有普遍用途的vMotion，性能更加出眾。

檢查物理主機(jī)內(nèi)部

當(dāng)被入侵的客戶服務(wù)器開(kāi)始傳染其他服務(wù)器時(shí)，就會(huì)發(fā)生“混合威脅”。傳統(tǒng)的安全工具可以在物理堆棧檢測(cè)到異常行為，并發(fā)出警報(bào)。但是，由于虛擬化網(wǎng)絡(luò)的通信方式設(shè)計(jì)在一臺(tái)單一的物理主機(jī)里，黑客可能利用被入侵的虛擬機(jī)攻擊同一臺(tái)主機(jī)上的其他虛擬機(jī)。這樣傳統(tǒng)的通過(guò)網(wǎng)線的監(jiān)測(cè)系統(tǒng)是不能發(fā)出警報(bào)的。

一些供應(yīng)商開(kāi)發(fā)了虛擬安全設(shè)備來(lái)對(duì)付這種陰暗的行為，尋找不經(jīng)過(guò)物理網(wǎng)線的虛擬網(wǎng)絡(luò)流量，并提供虛擬防火墻和入侵檢測(cè)和預(yù)防。VMware在其VMsafe旗下有很多合作伙伴，提供特有的安全API，目的是使虛擬機(jī)的可見(jiàn)度能夠類似于我們已經(jīng)習(xí)慣的傳統(tǒng)物理IP安全方式。

加強(qiáng)控制

所有的主要供應(yīng)商和少數(shù)第三方供應(yīng)商提供了集中式的虛擬農(nóng)場(chǎng)管理工具。管理員可以從單獨(dú)的控制臺(tái)控制和查看每一個(gè)虛擬機(jī)，這些工具是跨平臺(tái)的，從而能夠控制不同結(jié)構(gòu)的環(huán)境。但是，這些控制臺(tái)也存在著管理權(quán)限和角色的沖突。在過(guò)去，大企業(yè)可以依靠物理手段來(lái)進(jìn)行訪問(wèn)限制，控制誰(shuí)可以碰到某一臺(tái)特定的服務(wù)器。而虛擬化移除了那些墻壁，基于網(wǎng)絡(luò)的控制臺(tái)可以讓任何人坐在辦公桌前操縱虛擬農(nóng)場(chǎng)。

虛擬機(jī)的管理和服務(wù)器管理員的職責(zé)應(yīng)當(dāng)明確界定。處理敏感的醫(yī)療、金融或其他重要隱秘?cái)?shù)據(jù)的服務(wù)器必須明確區(qū)別開(kāi)。對(duì)所有虛擬設(shè)備、控制臺(tái)和CLI管理應(yīng)進(jìn)行周密的考慮，IP接入規(guī)則和網(wǎng)絡(luò)管理?xiàng)l例也必須明確界定。

避免交叉對(duì)話

除了對(duì)主機(jī)網(wǎng)絡(luò)的管理，對(duì)虛擬機(jī)遷移渠道的控制也應(yīng)成為你主要考慮的問(wèn)題，這關(guān)系到網(wǎng)絡(luò)的性能和安全性。無(wú)論是vMotion還是XenMotion都擁有在兩臺(tái)主機(jī)之間現(xiàn)場(chǎng)遷移虛擬機(jī)的良好能力。數(shù)據(jù)傳輸應(yīng)該發(fā)生在類似于iSCSI SAN的私有安全網(wǎng)絡(luò)結(jié)構(gòu)上。為現(xiàn)場(chǎng)遷移而設(shè)置專門的網(wǎng)絡(luò)分段在所有虛擬主機(jī)平臺(tái)上都應(yīng)該是理所當(dāng)然的工作。

關(guān)于虛擬化安全市場(chǎng)上的眾多新產(chǎn)品，Neohapsis公司的Shipley說(shuō)，他沒(méi)有看到任何值得花錢的東西。大多數(shù)企業(yè)“應(yīng)該把建立虛擬環(huán)境下的標(biāo)準(zhǔn)操作流程放在第一位，”他說(shuō)，“太多的企業(yè)缺乏基本的管理、漏洞和補(bǔ)丁管理工具。”

把基本的東西做到位之后，在虛擬機(jī)防火墻或主機(jī)內(nèi)部的虛擬安全設(shè)備上繼續(xù)投資才會(huì)變得有意義。

【編輯推薦】

1. Hyper-V Server 2008系統(tǒng)管理技巧全揭秘
2. 淺析使用VMware Server虛擬化服務(wù)器的五大理由
3. 專題：打造安全的虛擬化環(huán)境

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：The Biggest Threat? It May Be You     作者：Joe Hernick