警惕：虛擬服務(wù)器并不總是安全的

申請免費試用、咨詢電話：400-8352-114

隔離你的虛擬機

現(xiàn)在有許多IT管理者認為，配置虛擬服務(wù)器將使他們的虛擬機免收安全漏洞和病毒的攻擊。但是Edward L. Haletky等虛擬化安全專家認為，IT經(jīng)理將驚奇地發(fā)現(xiàn)，對于保護虛擬架構(gòu)他們需要付出更多的努力。

Haletky曾經(jīng)撰寫過一篇關(guān)于虛擬化安全的書籍，他表示：“目前有關(guān)虛擬化技術(shù)最大的安全問題就是很多人并不知道他們自己真正在做什么。虛擬化管理員并不是安全管理員。他們之所有不能成為安全管理員是因為有太多需要學(xué)習(xí)的技能。虛擬化管理者也不是存儲經(jīng)理，但是他們卻需要有這方面的知識。”

盡管虛擬化技術(shù)本身并不容易受到攻擊，但是安全管理員和虛擬化管理員之間的知識差異導(dǎo)致了虛擬服務(wù)器配置的不安全性?，F(xiàn)在虛擬化安全專家還很少，所以建議虛擬化管理員更多地掌握有關(guān)知識，審核針對他們虛擬機的策略，確保虛擬機上的功能性和內(nèi)容被分配到獨立的操作環(huán)境下。

隔離你的虛擬機

據(jù)Haletky稱，虛擬化管理員必須擔(dān)心四種網(wǎng)絡(luò)：管理網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、虛擬機網(wǎng)絡(luò)和VMotion網(wǎng)絡(luò)。他說，如果虛擬化管理員不隔離這些網(wǎng)絡(luò)的話，就有可能產(chǎn)生最大的安全漏洞。

他說：“一些管理員將所有這四種網(wǎng)絡(luò)的smack標簽放在他們的DMZ上?！庇蟹浅栏窈涂焖俚囊?guī)則控制IT部門在DMZ中的行為——首先也是最重要的一個就是禁止系統(tǒng)中有超過一個的網(wǎng)絡(luò)鏈接。Haletky表示，相同的規(guī)則也還可以應(yīng)用到虛擬服務(wù)器方面，他建議IT管理者盡可能地遠離DMZ。

加拿大IDC公司安全和軟件研究主管David Senf也認同這個觀點，他說：“為了避免混淆安全策略、防止擴大權(quán)限，一些IT部門不允許DMZ中的虛擬機session停留在DMZ后端的主機上?！?/P>

Info-Tech Research Group高級研究分析師John Sloan表示，管理員可以通過特殊的安全區(qū)域內(nèi)聚合虛擬機來使用網(wǎng)絡(luò)隔離。他解釋說：“有些設(shè)備可能是從其他設(shè)備上分離出來的，因此需要不同層級的安全性?！?/P>

Sloan還建議那些使用實時遷移功能（這種功能可以將運行中的虛擬機從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器上，從而優(yōu)化性能、減少宕機時間）的管理員小心這項功能對安全性的影響。

他說：“有些情況下服務(wù)器設(shè)備可能需要更高層級的安全，但是他們可能需要遷移到其他設(shè)備中，是因為性能問題而不是安全問題。因此，這就增加了更多的復(fù)雜性，因為你需要了解物理服務(wù)器是如何分區(qū)的，確?！嗤姆?wù)器都使用相同的平臺。”

虛擬化解決方案提供商Tresys技術(shù)設(shè)計總監(jiān)Karl MacMillan表示：“現(xiàn)在最緊迫的安全需求就是確保虛擬化軟件本身存在的漏洞不允許用戶虛擬機在操作系統(tǒng)中引發(fā)災(zāi)難或者可能闖入其他用戶虛擬機中?！?/P>

有了將具備相同訪問權(quán)限的虛擬機整合到一起的理念之后，就產(chǎn)生了在獨立虛擬機上隔離單個應(yīng)用的功能。他說，這將確保你的HR應(yīng)用不會受到Web瀏覽器的影響。

MacMillan表示：“這種做法的優(yōu)點在于你可以通過使用更多虛擬機的功能來加強獨立性。但是由于虛擬機繁殖迅速的特點，你還需要確保這些操作系統(tǒng)的安全性。你還要對這些操作系統(tǒng)進行升級、打補丁、對其進行追蹤等?！?/P>