“虛擬化并不是天生就是不安全的，然而，很多虛擬化的工作負(fù)載正在被不安全地部署，”Gartner研究公司分析師Neil MacDonald表示。

對虛擬化項(xiàng)目進(jìn)行規(guī)劃通常都應(yīng)該包括信息安全團(tuán)隊(duì)，但是根據(jù)Gartner公司的調(diào)查數(shù)據(jù)顯示，40%的虛擬化項(xiàng)目的初步架構(gòu)和規(guī)劃階段是在沒有安全團(tuán)隊(duì)的參與下進(jìn)行的。

因?yàn)橄到y(tǒng)管理程序?qū)λ性谖锢矸?wù)器上運(yùn)行的工作負(fù)載進(jìn)行監(jiān)管，因此管理程序受到攻擊的話，可能會導(dǎo)致所有托管的工作負(fù)載的破壞，MacDonald表示。在傳統(tǒng)的架構(gòu)中，對一臺服務(wù)器的威脅只會對一部分工作負(fù)載帶來風(fēng)險，但是在虛擬化數(shù)據(jù)中心卻不只是這樣。

管理程序本身同樣也可能成為攻擊對象。例如，Vmware正在修復(fù)其自身的虛擬化架構(gòu)來去掉基于Linux的服務(wù)控制臺以將攻擊面從2GB減少到100MB。

雖然這是一種改進(jìn)，但用戶們?nèi)匀挥泻芏喟踩珕栴}需要考慮。Gartner公司建議，從安全和管理角度，將虛擬化平臺當(dāng)作是你的數(shù)據(jù)中心內(nèi)最重要的IT平臺

Gartner 建議，IT部門需要建立關(guān)于不同信任級別的工作負(fù)載整合的政策，并且在評估新安全和管理工具時，選擇那些在物理環(huán)境和虛擬環(huán)境擁有相同管理、政策和報(bào)告標(biāo)準(zhǔn)的工具。

IT部門必須關(guān)注安裝在管理程序?qū)拥乃写a的漏洞情況，包括驅(qū)動器、插件和第三方工具等，保持所有這些的最新更新以及補(bǔ)丁修復(fù)。

即使當(dāng)虛擬化層與之前的物理架構(gòu)一樣安全，提供更多的虛擬機(jī)的趨勢意味著你的足跡擴(kuò)大，也就是安全風(fēng)險擴(kuò)大。

Turner正在尋找一些系統(tǒng)管理工具，例如Cfengine、Puppet Labs和Chef，來將檢查補(bǔ)丁修復(fù)、移除舊的用戶帳戶和確保配置文件沒有被篡改的程序自動化。

即使是相對簡單的工作，例如運(yùn)行殺毒軟件，在系統(tǒng)被虛擬化后，都可能變得更加復(fù)雜。

Harper指出，他的工作人員必須手動更改所有Windows Server每周掃描的時間，因?yàn)榉駝t會立即造成過高的I/O負(fù)載。

Harper表示，客戶既需要新產(chǎn)品，也需要防止虛擬化出現(xiàn)問題的程序，因?yàn)閷⑻摂M機(jī)當(dāng)作裸金屬機(jī)來管理根本行不通。

不過，Harper和Sabre公司的高級IT專家Jim Brewster對于虛擬世界的安全性都感到十分樂觀。對安全區(qū)域的物理分隔被基于軟件的安全區(qū)取代，虛擬化管理工具可能會讓搗亂的IT管理員難以改變系統(tǒng)，在不對他們的行為進(jìn)行日志記錄的情況下。

微軟和Vmware一直都在爭論在操作系統(tǒng)中保留多少進(jìn)程以及多少進(jìn)程應(yīng)該推到系統(tǒng)管理程序?qū)拥膯栴}，但是Brewster表示，期待更多的安全功能轉(zhuǎn)移到管理程序?qū)印?/p>

“我覺得對于虛擬空間正在發(fā)生的事情有更好的能見度和更多的控制將是件好事，”Brewster表示。

原文出處：http://safe.it168.com/a2010/1218/1139/000001139819.shtml

【編輯推薦】

1. 虛擬化技術(shù)是如何來保障瀏覽器安全的
2. 企業(yè)虛擬化發(fā)展中的虛擬“安全”