国外安全厂商BeyongTrust周三公布的一项调查显示，现在不少组织热衷于向虚拟机业务转移，却没有将良好的安全习惯一起带过来。

　　参与安全厂商BeyongTrust调查的346名管理者中，将近一半(42%)的人说他们在虚拟机系统的日常管理中没使用过任何安全工具，超过一半(57%)的人承认他们使用现成的镜像模板制作新的虚拟镜像。

　　此外，近三分之二(64%)的受访者透露，在新镜像或模板发布之前，他们的组织在需要安全签名的地方没有任何控制措施。

　　创建新的虚拟镜像时不使用安全的做法，这是管理员工作中的一个系统性的问题。BeyondTrust的高级产品营销总监迈克尔·亚菲对首席安全官说：“表明上看这些家伙是克隆镜像，但实际上他们在复制漏洞模板。”

　　如过不在他们复制到服务器之前对这些模板做完安全尽职调查，那么危急缺陷极有可能传遍整个组织。他说：“虽然VMware可以帮助提升生产力，但如果你不做前期的尽职调查的话，它可能会引入重大的安全隐患——因为它覆盖规模大而广，人们都会去使用它。”

　　BeyondTrust的项目管理高级主管Morey Haber进一步解释说，漏洞通过问题模板传播，感染虚拟机上的客户机操作系统或者虚拟软件本身。

　　在联合调查期间，BeyondTrust发布了一款新的VMware vCenter插件，它可以向VMware控制台的虚拟机管理员提供漏洞信息。该工具会向控制台添加一个标签，显示所有正在运行的虚拟机的漏洞和安全风险。

　　Haber说：“如果管理员克隆一台机器或回滚快照，这些机器的安全风险状况便会呈现给管理员，他们可以决定是否启动，关闭或忽略这些提示。”

　　这是非常重要的，尤其是当一个组织必须遵从类似PCI和HIPAA一类的规定时。“当你处理任何这些监管举措，你不应该让存在漏洞的机器在线超过30天，”Haber说。

　　“我们的技术允许你查看这些仪表盘上的信息，这样你就可以通过近乎实时的数据来判断并做出正确的评估，”他补充说。

　　Bromium(虚拟环境的安全软件制造商)首席技术官和共同创始人Simon Crossby看到人们无动于衷。虽然调查结果显示问题很严重，但并没有引起人们的震惊。“很明显，虚拟化已经撕掉了业务规范，而且安全远远落后于对虚拟基础设施的管理。传统的安全工具并不能很好地工作在虚拟环境中。”

　　系统运营商认为虚拟化给他们提供了物理机无法提供的安全环境，但事实绝非如此!安全厂商向用户承诺的安全保护也并非完全奏效，因此虚拟环境的安全仍然是一个大问题。这一调查提醒了从传统架构转过来的虚拟机用户，对安全的重视不能有丝毫放松。

　　责任编辑：GOCN