虚拟化承诺让IT部门更灵活、更高效,以及更节俭——这或许是当前艰难时期最关键的一点。但这项技术没有提供的一个优势是可以逃避这种需要强大的安全措施.
当他开始计划他的Novell虚拟化项目当时,诺亚·布罗德沃特(Noah Broadwater)意识到,他正在研究一项倡议,既需要延续现有的安全措施,也需要对新技术可能造成的任何危险进行分析。
“很明显,虚拟化技术要求的密切关注”布罗德沃特,谁是总部位于纽约的儿童媒体制作芝麻工作室的信息服务的副总裁说,‘首先,我们必须确保我们是安全的各条战线上。’
Gartner Inc.分析师尼尔•麦克唐纳(Neil MacDonald)说,虚拟化正在为IT部门以及那些试图篡改关键数据和服务的人打开新的大门。
他说:“采用者可以预期,虚拟化软件,比如hypervisor软件,将成为攻击目标。”“因此,虚拟化安全规划应该在项目开始时解决。”
崩溃和学习
在今天的IT部门经济崩溃被要求用更少的资源做更多的事情,虚拟化的诱惑变得越来越不可抗拒。但是,随着一些部门为了挤占稀缺的资金而一头冲进这项技术,这种诱惑就产生了吝啬的安全.
许多节俭的经理认为,目前用于保护传统的物理服务器同样的技术可以简单地扩展到虚拟化环境。但麦克唐纳说,这是一个潜在的灾难性的假设。他指出,粗心可以通过威胁,在一些领域,包括软件,管理,移动性,操作系统和网络可视性(请参阅“虚拟化的软肋,”下面)捕获。“我们需要有解决这些问题的政策,”他补充道。
Broadwater采取了一些常规的防御措施,比如使用防火墙控制来限制用户访问,并在每个虚拟服务器上运行完整的安全协议和检查。此外,布罗德沃特说他依赖于他的虚拟化软件供应商Novell Inc.将提供一种能够抵抗入侵和攻击的产品。他说,他担心“虚拟化软件本身存在漏洞——内核攻击,有人攻击主机模块,或者我的人在主机服务器上犯了错误——然后确保整个虚拟化软件实际上是安全的,并打了补丁。”
布罗德沃特表示,他相信他的供应商正在跟上虚拟化威胁的步伐。
他认为,除了技术驱动的措施外,对企业来说,将虚拟环境的细节隐藏起来,以阻止不必要的关注是有帮助的。布罗德沃特说:“在很多情况下,我们甚至不会告诉人们他们是在虚拟机上运行,或者他们实际上是在访问虚拟机。”
位于马萨诸塞州沃尔瑟姆的业务外包和培训公司Lionbridge Technologies Inc.的企业IT副总裁奥温德·卡尔德斯塔德(Oyvind Kaldestad)说,他说,他最担心的是恶意软件感染进入他的客户企业基于微软的虚拟环境。
“我会很担心具有主机或父分区能够访问并导致病毒或其他类型感染的子分区的 - 这将是一个糟糕的情景,”他说。
Kaldestad还担心子分区之间使用虚拟化进行通信传播感染.但是,像布罗德沃特,他相信,他的供应商对这一问题的处理。
阿肯萨斯理工大学(Arkansas Tech University)学术计算和技术主管史蒂夫•米利根(Steve Milligan)表示,组件隔离对于保护他的vmware驱动系统至关重要虚拟桌面环境.
“我们保持我们的虚拟桌面,从我们的生产服务器分开,并保持我们的开发服务器从我们的生产服务器分开,尽可能,”他说。“我的一个最大的问题是有一个主机或遭到攻击,并允许我们的环境中的其它系统的非法访问虚拟机。”
Milligan承认,在设计虚拟环境时,他低估了安全挑战。“安全不是最重要的,”他说。“我们并没有想过要将虚拟环境与物理环境区别开来。这是一个错误,我们从中吸取了教训。”
和许多人一样管理虚拟化的环境中,米利甘想厂商提供更多,更好的可视化工具。“这是一个未知 - 不知道发生了什么事情在你的虚拟环境中,”他说。“不只是什么来自外部的服务器进行通信,但内部发生了什么这些虚拟服务器和台式机之间。”
虽然维护虚拟化环境需要新的见解和做法,传统的安全仍然发挥着作用。像许多有经验的使用者,布罗德沃特说,虚拟化安全始于主机。
“这是一般的安全的东西,”他说。“请确保您的安全补丁是最新的,并且您有合适的杀毒[工具]这是坐在一个合适的防火墙后面。”
为了进一步确保自己的虚拟部署是尽可能的安全,定期布罗德沃特转向外部安全公司来探测环境潜伏漏洞。“我们通常会雇用一个公司做一个安全渗透测试一年一次,”他说。“通过渗透测试,我们查看了漏洞,然后回到供应商那里,询问他们如何帮助我们解决这些问题。”
Kaldestad说,未来的虚拟化技术的采用可以得到厂商如何通过认真仔细检查每个供应商的虚拟化架构方法和管理安全的手柄。
“试着找出可能被用于攻击媒介的类型,”他建议。“通过观察事物是如何架构,你可以找到不少关于潜在的漏洞。”
现实检查
并非所有的IT经理都失眠了虚拟化的安全性。有些人认为,这个问题被夸大。他们说,批评者忽略了一个事实,大多数漏洞是寻址,许多使用者都仅仅使用虚拟化通过整合低优先级,以节省金钱 - 低风险 - 任务。
Nicholas Tang是美国网络公司Interactive One的技术运营副总裁他说,他相信只要关键数据不被发送到虚拟环境中,虚拟化就不需要特别的安全保护。
“我们对待[虚拟服务器]像标准的服务器,并采取标准的良好做法的措施,但没有具体到虚拟化环境,”唐,谁使用Oracle VM技术,以巩固轻负载的服务器,如从DNS和效用服务器说。
不过,位于科罗拉多州博尔德的技术研究公司Enterprise management Associates Inc.的安全和风险管理研究主管斯科特·克劳福德(Scott Crawford)警告说,重要的是不要被安全错觉所迷惑,因为没有企业希望招致攻击或入侵,即使被虚拟化的任务相对较小。他说:“没有人想成为受害者,不得不收拾烂摊子。”
米利同意。“虚拟化是一个非常令人兴奋的技术,为IT经理提供一个更好的方式来管理他们的一些系统,”他说。“但是不要高兴得太早了的好处,看看过去的安全性。这可能是危险的。”
Edwardsis在Gilbert,亚利桑那州,跟他在一个自由撰稿人jedwards@gojohnedwards.com.
这篇文章“保护虚拟化环境”最初是由《计算机世界》 .