虚拟化急需跨过“安全”这道门槛

走丢啦

作者： IT168
来源：CNETNews.com.cn
        随着很多企业开始裁减IT部门的开支，虚拟化开始逐渐取代传统服务器，从原有的简单应用，转向真正意义上的企业应用。相对的，虚拟机蕴含的风险也在上升。这种风险不单来自于虚拟机管理程序(Hypervisor)或者虚拟软件本身，更多的还是在传统网络架构和安全控制方面。由此，虚拟化安全问题越来越引人关注。
　　虚拟化软件都会有或多或少的缺陷和安全漏洞。拿最主要的虚拟机管理程序举个例子。它的一个叫“Hyperjacking”的漏洞，可以让黑客成功的控制整个系统，从而不受限制的进入该服务器上的所有的虚拟机。而一个物理服务器往往运行着很多虚拟机，所以这种威胁破坏性极大。“由于目前的IT网络架构、运作模式、部署服务器的生命周期和管理方法很难改变，因此安全厂商对这种来自Hypervisor的隐患毫无办法。”Nemertes研究中心的分析师Andreas Antonopoulos如是说，“如果改变以上整个体系来迁就虚拟化安全，所带来的问题会更加复杂。”
　　随着虚拟化的灵活性和便捷性日益提升，我们注意到它的一个安全盲点——虚拟机中的网络流量能见度问题。金融网络服务公司BTRadianz的前CTOLloyd Hession 担忧道：“用户无法监控虚拟服务器之间的网络流量，这些数据包从未离开过真实的服务器。因而传统的安全工具无法分析这些流量。”　　
　　如今，很多公司开始在数据中心里应用虚拟服务器。而随着这些关键性应用从物理服务器向虚拟机转移，上述的网络流量能见度问题就可能带来很多麻烦，而且会随着虚拟机规模的增长而越来越严重。据市场研究公司IDC预测，到2011年，企业用户在虚拟化领域的投资将从2006年的55亿美元增长到117亿美元。

　　以医疗保健行业的软件服务提供商Quantros为例。该公司的主要业务是为医院和保健商提供定制的软件，并帮助管理病人的私人资料。去年，Quantros公司开始改造它已经老化的网络。而为了控制成本，Quantros采用了VMware的ESX服务器虚拟化平台来虚拟它的一些WEB服务器和用于软件开发的服务器。
　　刚开始确实很有效，虚拟化为Quantros带来了很显著的性能提升和相对很少的成本投入。因此，Quantros加大了对虚拟化的投资。如今，Quantros拥有55个物理服务器和40个虚拟服务器，而它所面临的多种安全威胁也开始令人焦虑。首先，传统的网络入侵防御系统无法保护基于同一个物理服务器的众多虚拟服务器。其次，当新的安全补丁出来时，维护这众多的虚拟机也变成了费时费力的工作。此外，Quantros还必须确保每一个虚拟系统都能严格遵循公司规定的安全级别和补丁策略。
　　为了解决这些安全隐患，Quantros转向了Blue Lane技术公司的ServerShield。Blue Lane公司去年推出了虚拟盾(VirtualShield)软件，运行在主机管理程序和它的虚拟机之间。它能够阻止那些恶意软件接触到虚拟机，并可以对虚拟机之间的流量进行分析和监控。
　　其实，任何公司，在谈到虚拟化的时候都应该对上述安全问题有所考虑。“许多公司，一开始只是试探性的应用虚拟化设备。之后，他们发现这除了可以节省一些开支，还能增加业务的灵活性。”Citrix系统的首席安全战略家Kurt Roemer说道，“但他们并没有意识到虚拟化将改变他们现存网络的基本结构，其传统的控制方式也将改变。”　　
　　

ssyknuwyg

这图画的不错