Gartner的分析師Neil MacDonald在一份研究報告中指出，60%的虛擬化服務(wù)器的安全性低于物理服務(wù)器，這種狀況將持續(xù)到2012年。如今，虛擬化技術(shù)的普及率越來越高。Gartner預(yù)計，2012年全球?qū)⒂谐^一半的工作負載被虛擬化。如果不能有效解決虛擬機的安全性問題，那么安全性問題很可能成為虛擬化應(yīng)用最大的絆腳石。

安全漏洞并不可怕

虛擬機的安全漏洞到底有多大？McAfee Avert Labs的David Marcus表示：“如果你有能力攻擊一個虛擬機，并且能夠進入虛擬機之外的主操作系統(tǒng)，那么就完全可以控制服務(wù)器中的全部虛擬機。”

2009年5月，網(wǎng)絡(luò)上曾經(jīng)曝光，VMware虛擬化軟件的Mac版本Fusion中存在一個嚴重的安全漏洞。別有用心的人可以利用該漏洞，通過Windows虛擬機在Mac主機上執(zhí)行惡意代碼。幸好，VMware很快就發(fā)布了Fusion 2.0.4，修復(fù)了該漏洞。虛擬機生命周期管理方案提供商Embotics的營銷副總裁David Lynch曾表示：“在虛擬機的安全性方面，黑客肯定是有機可乘的。如果你參加過像黑帽大會這樣的技術(shù)安全大會，就會發(fā)現(xiàn)虛擬化技術(shù)已經(jīng)成為熱議的話題。很多人在關(guān)注這個領(lǐng)域。”

2010年3月，據(jù)國外網(wǎng)站報道，核心安全科技公司(Core Security Technologies)發(fā)出警告，微軟Virtual PC中存在一個未被修復(fù)的安全漏洞。黑客通過該漏洞可以成功繞過數(shù)據(jù)執(zhí)行保護(DEP)、地址空間隨機化布局(ASLD)等安全機制，對虛擬機發(fā)起攻擊。此安全漏洞涉及微軟Windows Virtual PC、Virtual PC 2007和Virtual Server 2005，所幸Hyper-V不受影響。

從目前情況看，針對虛擬機的攻擊已經(jīng)不再是紙上談兵，而是確確實實發(fā)生了。一些虛擬化方案提供商、安全廠商反饋，虛擬環(huán)境的安全問題確實存在，而且針對虛擬機的攻擊和安全漏洞不斷涌現(xiàn)。企業(yè)用戶必須對那些針對虛擬機的安全威脅提高警惕。

讓人擔(dān)心的是，越來越多針對虛擬機的安全威脅并沒有引起廣大企業(yè)管理者足夠的重視。很多人在部署虛擬化技術(shù)的時候，將主要精力放在提高設(shè)備利用率、降低成本等方面，而忽視了安全問題。

“與其他軟件一樣，x86虛擬化平臺軟件不可能沒有安全漏洞。VMware、Citrix和微軟等虛擬化平臺軟件廠商在近幾年都發(fā)現(xiàn)了各自平臺的漏洞。”戴爾大中華區(qū)大型企業(yè)事業(yè)部首席架構(gòu)顧問陳進坤表示，“發(fā)現(xiàn)安全漏洞后，只要及時打補丁和升級，用戶的主機就不會受到攻擊。舉例來說，ESX等系統(tǒng)管理程序已經(jīng)通過加拿大通信安全部(CSEC)通用標(biāo)準(zhǔn)評估與認證方案(CCS)的驗證，獲得了EAL4+級通用標(biāo)準(zhǔn)認證。EAL4+級是《共同準(zhǔn)則互認協(xié)定(CCRA)》認可的最高安全級別。”

趨勢科技認為，虛擬機確實存在安全漏洞。但是，用戶只要及時做好針對虛擬機的補丁管理工作，就不會有太大問題。

惠普公司認為，既然虛擬機是被打包好的文件系統(tǒng)，并且基于標(biāo)準(zhǔn)的平臺，那么安全漏洞就是不可避免的。但是，用戶如果能揚長避短，充分發(fā)揮虛擬服務(wù)器的靈活性、可靠性和共享性，那么就能獲得事半功倍的效果。這也是虛擬化技術(shù)如今能夠成為市場主流的重要原因。

在記者采訪的多家虛擬化軟件廠商、安全廠商和服務(wù)商中，萬國數(shù)據(jù)服務(wù)有限公司(GDS)副總裁張權(quán)的觀點頗具代表性。他認為：“安全問題是IT 業(yè)界長期存在的一個問題。它不取決于架構(gòu)是物理的還是虛擬的，平臺是x86的還是Unix的，或者應(yīng)用以何種形式存在。虛擬化技術(shù)的出現(xiàn)具有劃時代的意義。它能夠降低成本，節(jié)能增效，提高資源利用水平和資源配置的靈活性，提升業(yè)務(wù)連續(xù)性水平。作為一種新出現(xiàn)的技術(shù)，虛擬機面臨著與傳統(tǒng)物理服務(wù)器架構(gòu)一樣的安全問題，如網(wǎng)絡(luò)、訪問控制、數(shù)據(jù)加密、操作系統(tǒng)和應(yīng)用等方面的問題。”

解決虛擬機的安全性問題，不能僅依靠虛擬化軟件廠商，而是需要操作系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、安全等廠商共同努力。IT管理者還要提高安全防范意識。

#p#

事在人為

Gartner的研究報告指出，虛擬機的安全性低并不是因為虛擬化技術(shù)本身不安全，而是因為缺乏相關(guān)的管理工具，應(yīng)用流程不成熟，企業(yè)員工和經(jīng)銷商缺乏有效的培訓(xùn)等。

VMware公司大中華區(qū)技術(shù)總監(jiān)張振倫指出，實際上，多數(shù)的安全風(fēng)險來自于實際使用的過程中，而并非虛擬化技術(shù)本身的問題。經(jīng)過專門的審計和管理控制，完全可以避免虛擬機的安全風(fēng)險。AstroArch咨詢公司創(chuàng)始人Haletky認為：“與虛擬化相關(guān)的最大安全問題是，很多用戶不知道自己在做什么。為了有效解決虛擬機的安全性問題，虛擬化應(yīng)用管理員必須學(xué)習(xí)更多的知識。”

張振倫歸納出虛擬機面臨的主要安全風(fēng)險：第一，虛擬化層的妥協(xié)可能導(dǎo)致所有托管工作負載的標(biāo)準(zhǔn)降低；第二，內(nèi)部虛擬網(wǎng)絡(luò)上的虛擬機之間的通信缺乏可見性和控制力，使得當(dāng)前的安全策略增強機制喪失效力；第三，在沒有被充分隔離的情況下，不同信任級別的工作負載被整合到一個單獨的物理服務(wù)器上；第四，Hypervisor/VMM層和可管理工具的訪問管理缺乏可控性；第五，網(wǎng)絡(luò)和安全控制職責(zé)的隔離存在不足。

其實，技術(shù)的問題只是一方面，為了保護虛擬機的安全，更重要的是在人和應(yīng)用方面下功夫。Gartner研究發(fā)現(xiàn)，40%的虛擬化應(yīng)用在最初的規(guī)劃和設(shè)計階段，根本沒有考慮安全因素。Gartner建議，安全管理流程應(yīng)擴展到虛擬化管理程序和虛擬機監(jiān)視器等方面。

許多系統(tǒng)管理員缺乏有效保護虛擬化環(huán)境的專業(yè)知識。虛擬化技術(shù)的出現(xiàn)模糊了IT人員的角色與職責(zé)。例如，在虛擬機泛濫而管理員又不知情的情況下，后端存儲的性能很容易出現(xiàn)瓶頸。

“虛擬化正在改變傳統(tǒng)的服務(wù)器配置流程。用戶需要建立一個全新的框架，避免出現(xiàn)虛擬機泛濫等問題，進而解決隱藏的安全問題。許多早期部署的虛擬基礎(chǔ)設(shè)施，并沒有采用最佳的基礎(chǔ)設(shè)施架構(gòu)部署策略。”陳進坤表示，“用戶應(yīng)該避免為虛擬化而虛擬化的思維定式，將注意力放在人員、流程和技術(shù)的無縫整合上，進而創(chuàng)造一個高效、高安全性的企業(yè)基礎(chǔ)架構(gòu)平臺。”

“無論是物理環(huán)境還是虛擬環(huán)境，出現(xiàn)安全問題的原因都一樣，即技術(shù)和管理方面的問題。”張權(quán)認為，虛擬化應(yīng)用成功的關(guān)鍵是三分技術(shù)、七分管理，“僅僅依靠技術(shù)手段，只能治標(biāo)不能治本，只有結(jié)合安全的運維管理，才可以做到標(biāo)本兼治。”

張權(quán)歸納出虛擬機在管理方面存在的主要問題：第一，安全組織設(shè)置和崗位職責(zé)不明確；第二，安全風(fēng)險管控不到位；第三，日常安全運行與維護缺乏有效性；第四，應(yīng)用系統(tǒng)安全管理有疏漏；第五，災(zāi)備管理不專業(yè)；第六，企業(yè)缺乏內(nèi)部與針對第三方人員的安全管理規(guī)范；第七，企業(yè)沒有進行必要的安全教育培訓(xùn)。

惠普認為，安全問題在每個環(huán)節(jié)都有可能發(fā)生，關(guān)鍵在于如何創(chuàng)建有效的流程，通過高效的軟件工具監(jiān)控虛擬機的運營，從而避免問題出現(xiàn)。

隨著業(yè)務(wù)的不斷增長，企業(yè)用戶如果不對虛擬環(huán)境進行合理控制和管理，很容易出現(xiàn)虛擬機泛濫的情況。虛擬機的泛濫不僅增加了管理的負擔(dān)，而且造成了現(xiàn)有資源的浪費。惠普融合基礎(chǔ)設(shè)計架構(gòu)不僅能通過統(tǒng)一、高效的管理，合理分配現(xiàn)有資源，回收數(shù)據(jù)中心空閑容量，而且能幫助用戶將孤島式的IT架構(gòu)轉(zhuǎn)變成池化的，從而實現(xiàn)資源的共享，在提高資源利用率的同時大幅提高IT部門的生產(chǎn)力，使IT部門成為驅(qū)動業(yè)務(wù)發(fā)展的核心動力。

【編輯推薦】

1. 突然，你的虛擬機消失了……
2. 虛擬機備份問題：緩沖區(qū)、恢復(fù)和裸機
3. 細數(shù)用于虛擬機遷移的轉(zhuǎn)換工具