很多公司熱衷于虛擬化這東西,卻沒有在安全上做出相應(yīng)的改變�����。僅僅是簡單地將物理技術(shù)措施用在虛擬化上,出現(xiàn)漏洞是必然的���。
根據(jù)一項新的研究發(fā)現(xiàn)�,約85%的英國企業(yè)沒有針對虛擬化更新安全工具�。2009年,虛擬服務(wù)器的數(shù)目第一次超過物理服務(wù)器����,其后虛擬化一直有著強勁的增長。
安全專家公司Trend Micro委托研究公司Vanson Bourne做的一項研究發(fā)現(xiàn)��,很多企業(yè)似乎沒有意識到隨虛擬化而來的危險����,只有不到一半承認虛擬化引入了新的風(fēng)險而需要相應(yīng)的安全措施。
Trend產(chǎn)品經(jīng)理James Walker說���,“通常他們會采取傳統(tǒng)上用于物理環(huán)境的安全方法����,嘗試著用到虛擬環(huán)境上�。這會對性能有影響,因為傳統(tǒng)的安全方法不是為虛擬環(huán)境設(shè)計的�。它沒有考慮虛擬環(huán)境的特殊性���,會有安全漏洞。”
安全管理問題
Walker說���,傳統(tǒng)的安全工具用在虛擬機上時往往力不能及���,還會有管理上的問題。
他說�,“(傳統(tǒng)方法的)安全軟件是裝在物理機上的。你知道機器在哪里��,你知道有哪些應(yīng)用程序在運行����。機器有它自己的處理器和內(nèi)存,比如�����,可以用來做定期掃描����。”
“現(xiàn)在����,在一個虛擬環(huán)境下�,會有幾個虛擬機在同一個物理服務(wù)器上運行����,共享內(nèi)存和處理器。某一定期掃描開始運行時����,完全可以用光服務(wù)器上的資源而影響其他應(yīng)用程序,造成程序不能運行或無反應(yīng)的情況�。”
研究發(fā)現(xiàn),10個企業(yè)里面有9個說他們對維護安全感到力不從心����,并說虛擬化是造成IT基礎(chǔ)設(shè)施復(fù)雜性增加的一個因素。只有11%的受訪者認為他們做足了安全更新�����。
Walker說�,虛擬化的安全管理問題涉及到補丁,安全策略和軟件簽名�。
“新的虛擬機在配置時或是虛擬機休眠時,更新沒有跟上�。我們稱之為現(xiàn)開間斷(instant-on gap)�����,F(xiàn)開間斷會帶來一些問題�。這些虛擬機開始運行或復(fù)活后����,它們的相關(guān)軟件簽名或安全策略不是最新的,這會導(dǎo)致極大的潛在問題�,”沃克說。
“另一個問題是���,將虛擬機從一個Hypervisor上移到另一個Hypervisor上時�,傳統(tǒng)意義上的安全已不復(fù)存在����。安全管理上一旦涉及到復(fù)雜性,安全管理就會變得非常困難���。“
主要的安全隱患
Trend的技術(shù)總監(jiān)Michael Darlington也同意虛擬化的主要安全風(fēng)險在于現(xiàn)開間斷(instant-on gap)����。
“現(xiàn)開間斷(instant-on gap)是一個大漏洞�。比如說,突然要交季度末尾或是年底報告�,開了服務(wù)器運行。那這服務(wù)器有好一段時間沒有運行���。如果像在傳統(tǒng)的環(huán)境中一樣�����,你會把這期間所有微軟發(fā)布的補丁��、Java更新�,不管是些什么更新���,全送給這臺機器���,這機器就在那待上一天,或是一個小時��,或是10分鐘——沒人知道多長時間——運行更新序����,”Darlington說。
他說���,問題的答案是將安全技術(shù)定位在Hypervisor層次上�,如此當(dāng)虛擬機器開了以后就不會有安全漏洞,因為Hypervisor已經(jīng)確保安全補丁是更新過的���。
研究對100個擁有1000名員工以上的公司調(diào)查發(fā)現(xiàn)����,在使用虛擬化環(huán)境的公司里�,44%的公司正在使用基礎(chǔ)設(shè)施作為服務(wù)(IaaS)或計劃會這樣做。
大部分公司��,即是61%的公司����,在用IaaS的同時支付安全服務(wù)費用,但一半的公司則只是把對付數(shù)據(jù)中心那一套安全措施用到這些服務(wù)上���。十分之四的公司認為基礎(chǔ)設(shè)施服務(wù)使得管理IT安全更趨向復(fù)雜化��。
