摘要:在虚拟化成为主流技术的当下,虚拟化技术在数据中心应用方面日益普及,不能让安全性成为阻碍虚拟化前进的绊脚石,安全性问题应该被更加关注并被解决,向着成熟的虚拟化迈进。 |
据权威市场分析机构Gartner的调查数据显示,60%的虚拟机的安全性低于已经被它们取代的物理机,初步预计直到2012年这种状态都不会改变,随着安全性的技术的显著进步,到2015年时将只有30%的虚拟服务器不如它们取代的物理机器安全。
随着更多的工作负载虚拟化,不同信任水平的工作负载被组合在一起以及虚拟化的工作负载变得更可移动,与虚拟化相关的安全问题将变得更加亟待解决。尽管只有18%可以被虚拟化的企业数据中心工作负载已经转向虚拟服务器,但到2012年底,随着虚拟技术被采用的蓬勃生长,超过一半的可以虚拟化的工作负载将被虚拟化。
针对行业的数据显示及专家的建议,我们认为虚拟化部署有几点常见的安全风险,而这些风险都是可避免的,下面我们就针对虚拟化的安全部署来共同探讨一下它的风险及挑战。
部署过程中的几点常见风险
1.不同信任水平的工作负载在缺少足够的隔离的情况下被整合到一台主机上;
2.基于网络的安全设备缺少对一台主机内的虚拟机间的通信的判断;
3.虚拟化技术没有对系统管理程序和虚拟机层的管理访问提供足够的控制;
4.当物理服务器组合到一台机器中时,存在着系统管理员和用户可以访问不允许他们看到的数据的风险。
5.虚拟层面临的威胁会伤害到所有托管的工作负载。作为新平台的系统管理程序包含新的安全漏洞,包括还没有被发生的漏洞。
6.40%的虚拟化项目是在初期规划阶段没有信息安全专业人员参与的情况下实施的。
虚拟化的安全挑战
1.虚拟化设计安全是关键
企业需要对虚拟世界监测安全性能指标——需要在隔离应用程序和系统方面做出聪明的抉择。例如,从虚拟环境中把信用卡信息抽离出来,能有效地减少PCI(支付卡行业)追踪相关电子交易信息。然而,在面向互联网的Web服务器中存储信用卡信息,并在同一物理主机上设有核对目录清单的应用服务器,这样会导致数据库管理订单追踪面临更大的威胁。
2.把安全纳入成本核算
企业一般采用节约成本的方法整合数据中心的服务器来实现——基于硬件的节省和供应成本的降低、提高服务器的利用率。然而,安全也应该纳入到成本核算体系当中。比如,提供监测、入侵检测、补丁验证和追踪的虚拟设备成本,已经其他需要安装到各个物理平台上的安全服务器。这样可以减少每个物理主机所需支持的虚拟服务器,从而也影响到投资回报率。
3.虚拟化部署要针对安全进行研究
企业需要有针对最新安全研究的专门部署,并在某些情况下,即使无计可施也要采取其他方面的控制手段。在前年的黑客会议上,一些身处最前沿的安全研究员展示了多种攻击管理软件的方法,而这些被攻击的管理软件又会反过来损害虚拟主机,使公司的资产比如薪金和福利、信用卡资料、以及专有的业务战略等信息外泄。请记住,这些潜在的攻击还仅仅是冰山一角。
4.虚拟环境中数据存储设备的重要性
对于虚拟环境而言,再没有比监控个人数据存储设备的使用更重要的了。虚拟化是一项很出色的促进数据恢复的技术。企业组织可以把系统映像拷贝到一个硬盘当中以便将来恢复系统,也可以把映像连接到复制后的数据之中。
拥有一套对付如USB闪存盘、安全数码卡和iPods都可以提供数GB的移动存储给任何一个用户的设备的管理方案,对于保护敏感信息或者个人、商业信息都是十分必须的。
5.虚拟化网络的监控
虚拟服务器是连接到一个虚拟网络环境中,这就使得在虚拟主机之间,监测和保护传输中的数据变得十分困难。对此,现实当中经过验证的解决方案有:适用虚拟环境下的入侵检测和嗅探器。其他的解决方法则包括加强监控、虚拟补丁管理以及虚拟系统环境中的安全调查工具。
虚拟化技术的革新必然会对企业的数据安全以及基础架构安全策略提出新的要求与挑战,有些风险不是不可以避免,只是常常被企业所忽视,而在虚拟化环境中,若某个虚拟系统或者虚拟程序受到潜在威胁,则势必会影响到其他系统或者程序并进而严重威胁到企业自身的安全。
本文中所提出的关于虚拟化部署的安全风险及挑战,反映了信息安全必须纳入评估、设计和执行虚拟化环境以及保护数据安全和满足相关要求的战略观点。在虚拟化成为主流技术的当下,虚拟化技术在数据中心应用方面日益普及,不能让安全性成为阻碍虚拟化前进的绊脚石,安全性问题应该被更加关注并被解决,向着成熟的虚拟化迈进。