|
虛擬化能夠降低成本和減少需要維護(hù)的服務(wù)器數(shù)量��。虛擬化還能帶來安全漏洞嗎?人們顯然永遠(yuǎn)不能用虛擬服務(wù)器做物理服務(wù)器辦不到的事情���。然而,虛擬機(jī)的性質(zhì)也許會(huì)帶來特殊的安全問題�����。
新的應(yīng)用者把虛擬化看作是企業(yè)計(jì)算的圣杯����。虛擬化能夠?qū)崿F(xiàn)單獨(dú)的服務(wù)器和數(shù)據(jù)庫的整合以提供更經(jīng)濟(jì)的運(yùn)營(yíng)。用一臺(tái)虛擬機(jī)運(yùn)行整合的計(jì)算機(jī)還能夠消除保持待機(jī)服務(wù)器和數(shù)據(jù)處理機(jī)器運(yùn)行浪費(fèi)的電源��。
然而���,一個(gè)虛擬的計(jì)算環(huán)境還能夠設(shè)置意想不到的安全障礙��。例如���,虛擬化有時(shí)候會(huì)繞過依賴硬連接發(fā)揮作用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
另一個(gè)安全漏洞是某些虛擬機(jī)能夠“隱藏起來”避免安全部門發(fā)現(xiàn)它們�����,因?yàn)檫@些虛擬機(jī)并不是一直開機(jī)的�。因此,安全網(wǎng)絡(luò)掃描經(jīng)常會(huì)錯(cuò)過不安全的虛擬服務(wù)器�����,因?yàn)檫@些虛擬服務(wù)器在掃描的時(shí)候沒必須要啟動(dòng)和運(yùn)行才能夠被發(fā)現(xiàn)�。
虛擬環(huán)境的移動(dòng)性也能造成安全的難題。虛擬機(jī)能夠“走開”:由于它們的容器能夠下載到臺(tái)式電腦并且放在存儲(chǔ)棒上���,移動(dòng)虛擬機(jī)就可以隨著存儲(chǔ)棒離開物理的安全環(huán)境����。
管理的主機(jī)服務(wù)公司BlackMesh的首席執(zhí)行官Eric Mandel說,虛擬化能夠?qū)嵤���。系統(tǒng)能夠像在本地環(huán)境中運(yùn)行一樣安全�����。使用虛擬化的背后的思路是在一個(gè)物理機(jī)器上創(chuàng)建多個(gè)系統(tǒng)鏡像��。同樣的安全概念也適用于虛擬鏡像����,就像適用于本地系統(tǒng)一樣����,只是這個(gè)主機(jī)系統(tǒng)必須也要鎖死。在任何環(huán)境中都必須要考慮安全風(fēng)險(xiǎn)問題���。
真正的隔離?
在理論上�,在虛擬環(huán)境中運(yùn)行的計(jì)算機(jī)進(jìn)程是與在同一個(gè)物理硬件上運(yùn)行的其它虛擬機(jī)隔離的���。每一個(gè)虛擬機(jī)實(shí)例都能夠存儲(chǔ)在一個(gè)物理硬盤上�,關(guān)機(jī)和攜帶離開以便繼續(xù)隔離和保證安全�。但是,在實(shí)踐上�����,安全問題的擔(dān)心并不總是那樣簡(jiǎn)單����。
一個(gè)虛擬機(jī)是由這個(gè)主機(jī)系統(tǒng)定義的。在每一臺(tái)物理服務(wù)器上只有一個(gè)主機(jī)系統(tǒng)�。但是,同一個(gè)主機(jī)系統(tǒng)能夠創(chuàng)建許多虛擬機(jī)�。
一旦定義了一個(gè)虛擬機(jī),這個(gè)虛擬機(jī)就能夠按照自己的實(shí)例運(yùn)行���。它也許能夠訪問允許其它虛擬服務(wù)機(jī)訪問的資源���,也許不能訪問這些資源,如虛擬硬盤�、CD/DVD光驅(qū)、磁帶等��。這意味著每一個(gè)虛擬機(jī)可以是與同一個(gè)物理硬件上的其它虛擬機(jī)完全獨(dú)立的。然而���,這個(gè)虛擬環(huán)境經(jīng)過設(shè)置還可以讓虛擬機(jī)共享這些同樣的資源���。
Mandel說,在這種情況下��,一個(gè)虛擬機(jī)實(shí)例能夠感染共享的數(shù)據(jù)���,進(jìn)而影響到正在共享同樣的資源的虛擬機(jī)����。這個(gè)主機(jī)系統(tǒng)是與這個(gè)問題隔離的���,因?yàn)樗兄挥兴拍茉L問的獨(dú)立的硬盤�����。
Mandel警告說���,最常見的、現(xiàn)實(shí)世界中的托管的多個(gè)虛擬服務(wù)器對(duì)一臺(tái)物理服務(wù)器的影響是虛擬實(shí)例之間爭(zhēng)奪系統(tǒng)資源���。多個(gè)虛擬服務(wù)器能夠在一臺(tái)物理服務(wù)器上過分使用的資源通常包括硬盤輸入/輸出���、內(nèi)存、處理器等����。
不能讓人信服
并非所有的對(duì)虛擬化技術(shù)的宣傳都認(rèn)為虛擬化的應(yīng)用會(huì)出現(xiàn)安全問題。虛擬軟件廠商正在研制一些工具防止出現(xiàn)安全問題��。
Untangle公司首席技術(shù)官Dirk Morris說��,我們聽說過這些擔(dān)心的問題����。不存在任何真正的虛擬安全漏洞。與好處相比����,虛擬機(jī)的風(fēng)險(xiǎn)是很小的。他的公司提供開源軟件網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備�。
Morris補(bǔ)充說,Untangle已經(jīng)對(duì)自己的數(shù)據(jù)中心進(jìn)行了虛擬化��,并且一直沒有遇到問題�。他的公司在一個(gè)虛擬機(jī)器上運(yùn)行了20個(gè)不同的服務(wù)器���。他說,虛擬化確實(shí)改變了備份的事情��。虛擬化可能會(huì)帶來安全問題���。但是����,我們到目前為止還沒有遇到��。
存在意見分歧
然而����,對(duì)于在與其它計(jì)算設(shè)備一起使用時(shí)不安全的虛擬化也許是什么樣子還沒有結(jié)論。一般來說�����,正是虛擬化廠商宣傳不存在安全問題����。Secure Computing公司負(fù)責(zé)全球技術(shù)戰(zhàn)略額副總裁Scott Montgomery說,虛擬化沒有向安全環(huán)境中增加任何東西�����。它是節(jié)省成本的一種強(qiáng)大工具。但是�����,虛擬化不是萬靈藥��。它不能解決你的全部問題���。虛擬機(jī)不能降低安全。它只是讓安全情況與原來不同��。VMware公司的人說�,虛擬化會(huì)增加安全。我不會(huì)走那么遠(yuǎn)����。
Montgomery舉例說,如果一個(gè)虛擬機(jī)一個(gè)月都沒有連接到網(wǎng)絡(luò)����。當(dāng)它重新連接到網(wǎng)絡(luò)的時(shí)候,所有的安全措施都過時(shí)了�����。這是虛擬化的一個(gè)具體問題。你如何修復(fù)過時(shí)的病毒特征?他指出��,一些廠商有做這個(gè)事情的工具�。
其它擔(dān)心的問題
虛擬化安全是這個(gè)行業(yè)中爭(zhēng)論比較多的問題。有支持的也有反對(duì)的���。
安全公司Core Security負(fù)責(zé)產(chǎn)品管理的副總裁Fred Pinkett說�,一個(gè)防火墻是在硬件設(shè)備上設(shè)置的����,F(xiàn)在,一個(gè)虛擬機(jī)環(huán)境中的所有的系統(tǒng)能夠在防火墻外面進(jìn)行通訊����。產(chǎn)品現(xiàn)在能夠控制虛擬機(jī)內(nèi)部的這種情況。增加另一個(gè)層次和新的邊界的任何東西都會(huì)產(chǎn)生新的安全問題�����。
人們也許不常聽說涉及到利用虛擬化安全漏洞的引人注目的數(shù)據(jù)突破事件���。但是�����,這并不意味著不存在這種可能性�。如果好人能夠發(fā)現(xiàn)這種安全漏洞,壞蛋也照樣會(huì)發(fā)現(xiàn)這種漏洞����。
虛擬環(huán)境與物理環(huán)境風(fēng)險(xiǎn)相同
Montgomery謹(jǐn)慎地指出,讓我感到緊張的是虛擬化能夠讓你把許多數(shù)據(jù)放在一個(gè)物理平臺(tái)上�����。這讓虛擬化訪問所有的平臺(tái)�。同一個(gè)地方的數(shù)據(jù)庫和網(wǎng)絡(luò)服務(wù)器可能存在風(fēng)險(xiǎn)�。很少有廠商討論這個(gè)問題。
訪問服務(wù)器應(yīng)用程序和數(shù)據(jù)能夠更容易��。如果一個(gè)服務(wù)器被攻破���,另一個(gè)也面臨風(fēng)險(xiǎn)���,從而出現(xiàn)交叉的問題。
安全廠商堅(jiān)持認(rèn)為要特別對(duì)待在一個(gè)網(wǎng)絡(luò)上的虛擬機(jī)環(huán)境中隱藏的漏洞�。虛擬機(jī)軟件廠商也許沒有提供這些解決方案���,需要第三方參與。
Stonesoft公司高級(jí)解決方案架構(gòu)師Kim Lassila說�����,我認(rèn)為人們要理解的關(guān)鍵問題是對(duì)于虛擬平臺(tái)和物理平臺(tái)來說��,威脅都是一樣的����。不使用虛擬安全解決方案,要保護(hù)虛擬環(huán)境是很困難的�����。
他不補(bǔ)充說���,有他的想法的人都不會(huì)不使用防火墻就把物理的企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)�。對(duì)于虛擬環(huán)境也是如此����。
Lassila說,服務(wù)器、臺(tái)式電腦和任何其它工作量在物理平臺(tái)上與在虛擬平臺(tái)上的風(fēng)險(xiǎn)是一樣的����。這是因?yàn)椴僮飨到y(tǒng)和軟件應(yīng)用程序是一樣的。
黑客的誘惑
Lassila擔(dān)心的另一個(gè)問題是虛擬化有可能為黑客留下一個(gè)可利用的后門��。有關(guān)虛擬化的兩個(gè)因素使這個(gè)問題成為令人擔(dān)心的問題�。
一個(gè)因素是普遍存在的誤解,認(rèn)為虛擬化平臺(tái)能夠神奇地使虛擬化的服務(wù)器�����、臺(tái)式電腦或者網(wǎng)絡(luò)更安全��。這樣思考問題�����,管理員就不會(huì)認(rèn)識(shí)到需要擔(dān)心安全問題���。
第二個(gè)因素是虛擬網(wǎng)絡(luò)是無形的。因此���,管理員不能物理地把一個(gè)網(wǎng)絡(luò)分析器連接到虛擬網(wǎng)絡(luò)以便觀察通訊狀況��。
Lassila說��,如果沒有專門為虛擬化環(huán)境設(shè)計(jì)的安全解決方案的幫助����,就很難監(jiān)視、監(jiān)督和控制虛擬網(wǎng)絡(luò)中的通訊�。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
