BeyondTrust公司發(fā)現(xiàn)，許多企業(yè)過于信賴虛擬化技術(shù)廠商以尋求保護(hù)。

據(jù)近日發(fā)布的一項(xiàng)調(diào)查聲稱，雖然許多企業(yè)熱衷于對(duì)系統(tǒng)運(yùn)行進(jìn)行虛擬化處理，但是這股熱情并沒有蔓延到采用良好的安全做法上。

在參與安全廠商BeyondTrust調(diào)查的346名管理員當(dāng)中，近一半(42%)聲稱，他們沒有經(jīng)常使用任何安全工具，作為運(yùn)行虛擬系統(tǒng)的一個(gè)環(huán)節(jié);一半以上(57%)承認(rèn)，他們使用現(xiàn)有的映像模板來制作新的虛擬映像。

此外，近三分之二(64%)的調(diào)查對(duì)象聲稱，所在企業(yè)沒有部署在發(fā)布新的映像或模板之前要求安全審批的任何控制措施。

BeyondTrust公司的產(chǎn)品營(yíng)銷高級(jí)主管Michael Yaffe表示，創(chuàng)建新的虛擬映像時(shí)不安全的做法是普遍出現(xiàn)在管理員當(dāng)中的一個(gè)系統(tǒng)性問題。他告訴媒體：“當(dāng)這些人克隆映像時(shí)，我們發(fā)現(xiàn)他們實(shí)際上使整個(gè)企業(yè)的模板長(zhǎng)期存在安全漏洞。”

他繼續(xù)說，除非在復(fù)制之前對(duì)那些模板進(jìn)行了安全方面的盡職調(diào)查工作，否則重大的安全缺陷就有可能擴(kuò)散到整個(gè)企業(yè)。“雖然VMware是一款幫助企業(yè)提高工作效率的出色工具，但如果你事先沒有做好應(yīng)有的盡職調(diào)查工作，它會(huì)帶來相當(dāng)大的安全風(fēng)險(xiǎn)——這歸因于其規(guī)模和范圍以及人們能夠使用它。”

BeyondTrust的項(xiàng)目管理高級(jí)主管Morey Haber解釋，因骯臟的模板而擴(kuò)散的安全漏洞可能出現(xiàn)在虛擬機(jī)上的訪客操作系統(tǒng)，也可能出現(xiàn)在虛擬軟件本身里面。

與發(fā)布調(diào)查結(jié)果的同時(shí)，BeyondTrust還發(fā)布了面向VMware vCenter的一個(gè)新插件，可以在現(xiàn)有的VMware控制臺(tái)里面為虛擬機(jī)管理員提供安全漏洞方面的信息。該工具為控制臺(tái)增添了一個(gè)選項(xiàng)卡，可以顯示所有運(yùn)行中虛擬機(jī)的安全漏洞和安全風(fēng)險(xiǎn)。

Haber說：“如果管理員克隆一個(gè)機(jī)器或回滾恢復(fù)快照，那些機(jī)器帶來的安全風(fēng)險(xiǎn)就會(huì)出現(xiàn)在管理員面前。管理員就可以做出決策，決定應(yīng)該開啟虛擬機(jī)、關(guān)閉虛擬機(jī)還是任其保留狀態(tài)。”

如果企業(yè)必須遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI)和《健康可攜性及責(zé)任性法案》(HIPAA)之類的合規(guī)法則，這項(xiàng)功能特別重要。Haber說：“當(dāng)你需要遵守任何這些監(jiān)管要求時(shí)，不該啟用安全漏洞已存在了30天以上的機(jī)器。”

他補(bǔ)充說：“我們的技術(shù)讓你可以在那些儀表板上以近乎實(shí)時(shí)的方式查看那些數(shù)據(jù)，那樣你就能進(jìn)行合理的評(píng)估了。”

Simon Crosby是虛擬機(jī)環(huán)境安全軟件開發(fā)商Bromium公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人，他表示，雖然這項(xiàng)調(diào)查的結(jié)果令人關(guān)注，但是它們遠(yuǎn)遠(yuǎn)談不上令人震驚。他在接受采訪時(shí)說：“很顯然，虛擬化徹底改變了操作做法;令人遺憾的是，安全做法滯后于管理虛擬基礎(chǔ)設(shè)施的操作做法。”

他補(bǔ)充說，雪上加霜的是，傳統(tǒng)的安全工具在虛擬機(jī)環(huán)境下效果不是很好。

他繼續(xù)說，此外，系統(tǒng)操作人員認(rèn)為，從某種角度來看，虛擬化為他們的環(huán)境提供了物理機(jī)環(huán)境所沒有的安全性。他說：“由于虛擬機(jī)隱藏在數(shù)據(jù)中心里面，他們認(rèn)為自己更安全了。實(shí)則不然。”

他補(bǔ)充說，安全廠商們?cè)诒澈笾L(zhǎng)了這種觀點(diǎn)。他說：“我感到非常擔(dān)憂的是，安全行業(yè)采用的語言絕對(duì)不可信。每一家安全廠商都承諾很安全，其實(shí)它們都在撒謊。”

他繼續(xù)說：“每一款產(chǎn)品聽起來都一個(gè)樣，它們都可以讓你安全無虞?？墒菦]有一款產(chǎn)品能說到做到。”