管理和整合物理機(jī)和虛擬機(jī)的安全-無論在線和離線-無疑都是一個(gè)挑戰(zhàn)，截止當(dāng)前，還沒有明確的“最佳實(shí)踐”方法。根據(jù)Gartner公司最近的研究報(bào)告，2009年，60 ％虛擬機(jī)的安全性將弱于相應(yīng)的物理服務(wù)器。這一數(shù)字突出了確保虛擬機(jī)安全面臨的挑戰(zhàn)，也突顯了培訓(xùn)一些能在需要的時(shí)候在物理環(huán)境和虛擬環(huán)境之間轉(zhuǎn)換的管理員的匱乏。

我認(rèn)為挑戰(zhàn)可分為兩類：人員和安全工具，或人員和安全工具的缺乏。當(dāng)涉及到安全管理的人為因素時(shí)，盡量避免將物理系統(tǒng)管理和虛擬化資源管理分開為單獨(dú)的管理結(jié)構(gòu)。如果發(fā)生什么事情，IT部門的人員必須得準(zhǔn)備更加密切地工作，否則你會(huì)為此浪費(fèi)時(shí)間和資源。在純粹的物理IT環(huán)境中，許多角色是獨(dú)立的清晰明了的，如服務(wù)器管理，存儲(chǔ)，網(wǎng)絡(luò)和安全。當(dāng)服務(wù)器虛擬化被引進(jìn)時(shí)，在這個(gè)行業(yè)仍然在學(xué)習(xí)虛擬化如何充分影響網(wǎng)絡(luò)和服務(wù)器的安全性景觀。現(xiàn)有確保物理服務(wù)器安全的策略，技術(shù)，配置和實(shí)踐，根本無法簡單地以同樣的方式應(yīng)用于虛擬服務(wù)器。比如，安全設(shè)備和策略需要消除對IP地址的依賴性，因?yàn)橛捎谔摂M機(jī)的創(chuàng)建、刪除或者遷移將引起IP地址更加經(jīng)常地變化。

此外，在虛擬化主機(jī)內(nèi)網(wǎng)絡(luò)可視性將會(huì)有所降低。傳統(tǒng)的網(wǎng)絡(luò)安全工具不一定能看到在同一主機(jī)內(nèi)不同虛擬機(jī)之間的通信，這使異常通信的檢測變得困難。變更管理程序也應(yīng)進(jìn)行檢查，以確定如何和何時(shí)記錄變化。例如，將來的審計(jì)員，是需要對主機(jī)創(chuàng)建變化日志還是對客戶機(jī)創(chuàng)建變化日志，或者兩者都要？

第二個(gè)挑戰(zhàn)是尋找?guī)椭_保混合基礎(chǔ)設(shè)施安全的工具。物理世界和虛擬世界的安全工具絕大多數(shù)是不一樣的。例如，虛擬機(jī)的工具和實(shí)用程序在類似VMware的環(huán)境下運(yùn)行良好，但他們并沒有真正被設(shè)計(jì)為能復(fù)制到綜合物理系統(tǒng)中。許多廠商，如微軟，戴爾，IBM和惠普公司正在試圖解決這個(gè)問題。例如，Check Point軟件技術(shù)公司的VPN - 1虛擬環(huán)境，為物理網(wǎng)絡(luò)和虛擬應(yīng)用提供統(tǒng)一的安全管理，允許系統(tǒng)管理員從同一個(gè)接口運(yùn)行虛擬、物理和網(wǎng)絡(luò)安全任務(wù)。重要的是它為包括虛擬環(huán)境在內(nèi)的整個(gè)安全基礎(chǔ)設(shè)施提供了統(tǒng)一的日志記錄。這是混合環(huán)境審計(jì)和遵守的關(guān)鍵因素。

當(dāng)涉及到的補(bǔ)丁管理，Shavlik技術(shù)公司的NetChk Protect現(xiàn)在能為在線和離線的虛擬機(jī)、物理機(jī)提供集中的補(bǔ)丁程序管理。它也能發(fā)現(xiàn)離線的虛擬鏡像。賽門鐵克公司的Backup Exec 12.5支持VMware ESX和微軟Hyper- V的虛擬機(jī)和物理機(jī)備份，并允許系統(tǒng)管理員使用一個(gè)控制臺(tái)來備份物理機(jī)和虛擬機(jī)器到磁盤。

毫無疑問，虛擬化顯然有許多好處，并能減少了總成本，但是在今后的一段時(shí)間內(nèi)，運(yùn)行異構(gòu)基礎(chǔ)設(shè)施的物理機(jī)和虛擬服務(wù)器將仍然是一種挑戰(zhàn)。企業(yè)安全管理人員應(yīng)及時(shí)了解虛擬化系統(tǒng)面臨的威脅以及虛擬化在發(fā)展過程中的安全創(chuàng)新。

【編輯推薦】

1. 虛擬機(jī)泛濫 系統(tǒng)安全怎么辦
2. 虛擬機(jī)會(huì)削弱安全性
3. Linux系統(tǒng)中的虛擬機(jī)可能會(huì)削弱安全性