随着很多企业开始裁减IT部门的开支,虚拟化开始逐渐取代传统服务器,从原有的简单应用,转向真正意义上的企业应用。相对的,虚拟机蕴含的风险也在上升。这种风险不单来自于虚拟机管理程序(Hypervisor)或者虚拟软件本身,更多的还是在传统网络架构和安全控制方面。由此,虚拟化安全问题越来越引人关注。
虚拟化软件都会有或多或少的缺陷和安全漏洞。拿最主要的虚拟机管理程序举个例子。它的一个叫“Hyperjacking”的漏洞,可以让黑客成功的控制整个系统,从而不受限制的进入该服务器上的所有的虚拟机。而一个物理服务器往往运行着很多虚拟机,所以这种威胁破坏性极大。“由于目前的IT网络架构、运作模式、部署服务器的生命周期和管理方法很难改变,因此安全厂商对这种来自Hypervisor的隐患毫无办法。”Nemertes研究中心的分析师 Andreas Antonopoulos如是说,“如果改变以上整个体系来迁就虚拟化安全,所带来的问题会更加复杂。”
随着虚拟化的灵活性和便捷性日益提升,我们注意到它的一个安全盲点——虚拟机中的网络流量能见度问题。金融网络服务公司BTRadianz的前CTO Lloyd Hession 担忧道:“用户无法监控虚拟服务器之间的网络流量,这些数据包从未离开过真实的服务器。因而传统的安全工具无法分析这些流量。”
如今,很多公司开始在数据中心里应用虚拟服务器。而随着这些关键性应用从物理服务器向虚拟机转移,上述的网络流量能见度问题就可能带来很多麻烦,而且会随着虚拟机规模的增长而越来越严重。据市场研究公司IDC预测,到2011年,企业用户在虚拟化领域的投资将从2006年的55亿美元增长到117亿美元。
附:虚拟化安全五个值得注意的地方
1、目前针对操作系统层面的攻击方式基本相同
2、对管理程序的攻击增加了系统的风险
3、将不同安全要求的功能模块分开,可有效降低风险
4、在同一物理平台上放的的功能性资源和应用越多,风险就越大
5、一个安全性很高的虚拟机运行在一个安全性相对较弱的物理平台上,其风险远高于运行在一个安全性较高的物理平台上的虚拟机
网友评论