摘要：云计算的经济增长预期让数据中心运营商展现笑容，尤其是当“云”浮在他们的数据中心之上时。人们对云计算有着乐观预测的原因之一，是企业决策者们有一个想法正在升温，那就是云计算和虚拟化可能是安全的，或者至少目前是安全的，然而果真如此吗？

     当人们谈到如何采用云计算时，不要忽视底层技术的弱点，这才是明智的。
　　
　　云计算的经济增长预期让数据中心运营商展现笑容，尤其是当“云”浮在他们的数据中心之上时。人们对云计算有着乐观预测的原因之一，是企业决策者们有一个想法正在升温，那就是云计算和虚拟化可能是安全的，或者至少目前是安全的，然而果真如此吗？
　　
　　几年前，业界人士对此表示高度的关注。“这些新的平台（云计算和虚拟化）为应对数据、系统和信誉的威胁开放更多的渠道。”有报告警告说，不断变化的数据中心面临更多的安全威胁。“在大多数情况下，这些威胁都是通过相同类型的攻击呈现：数据窃取恶意软件，Web威胁，垃圾邮件，网络钓鱼，木马，蠕虫，病毒，间谍软件，僵尸网络等。”
　　
　　大多数人觉得这些问题现在已经控制得很好了。但该报告引用了一些继续困扰数据中心的运作的微妙问题，特别是较小规模的数据中心。这些问题包括通信盲区，即时差距，虚拟机间的攻击和虚拟机管理程序的妥协，混合信任级别的虚拟机以及资源冲突。让我们逐一地进行阐述。
　　
　　通信盲区
　　
　　大多数传统的网络安全设备无法扫描虚拟机位于同一个主机服务器之间的流量。该报告建议在主机服务器使用专用的扫描安全性虚拟机，来控制和检查虚拟机之间的通信。
　　
　　然而，该报告警告说，这种做法（扫描的安全虚拟机）并不是一个理想的云计算环境，报告补充说，“在云计算中，最好的保护就是自我防御的虚拟机提供。在每个虚拟机上的保护都将自成体系，并且不需要在虚拟机的外部进行通信来保持安全。”
　　
　　即时差距
　　
　　虚拟化最令人欣赏的特点是能够提供，迁移，投入服务，并且可以快速地支持内部和客户需求变化。特别是那引起处于非活动状态的虚拟机。
　　
　　“一段时间后，休眠虚拟机可能最终偏离其基线安全状态，而这会成为一个重大的安全漏洞，”报告解释道，“即使虚拟机处于休眠状态，攻击者仍然可以访问它们。”
　　
　　另一个问题是，克隆虚拟机安全模板有时会过时。“即使在虚拟机建成病毒防护和其他安全应用程序的模板，虚拟机在有新的安全配置和图形文件的更新仍然需要的安全代理。”
　　
　　针对这种情况的解决方案是再次在每个主机服务器建立专用安全虚拟机。当虚拟机被激活或克隆时，安全虚拟机在虚拟机自动更新之前投入使用。
　　
　　虚拟机管理程序间的攻击和妥协
　　
　　一些看似被遗忘的是，虚拟化服务器使用相同的操作系统和应用程序的物理服务器。因此，他们很容易受到同样的威胁。以下提供几个人们遇到的例子。
　　
　　•攻击者可以危及虚拟机客户端，它是在同一个主机服务器上感染其他客户虚拟机。专家指出，“防火墙和入侵检测/预防系统需要能够在虚拟机上检测恶意活动，而不用关心虚拟机的虚拟化环境中的位置”。
　　
　　•Hyperjacking是攻击用户需要的主机服务器的虚拟机管理程序的控制权，并用其来攻击虚拟机管理程序。如果成功，系统管理程序将被用来攻击剩余的未感染的客户虚拟机。
　　
　　•报告指出，应用程序编程接口（API）的恶意代码的主要目标，并称：“有，由于API的空间和目前市场上的快速变化，未来的虚拟化管理系统将面临着安全风险。”
　　
　　混合信任级别的虚拟机
　　
　　趋势科技作者表示要关注服务器主机关键和非关键的VMS，这导致他们所谓的混合信任级别的虚拟机。业界人士提到一个解决方法是将虚拟机隔离成类似安全要求的群体，然而，这违背了具有虚拟化环境的初衷。
　　
　　“企业需要确保关键任务信息的保护，同时还实现了虚拟化的好处，”报告的作者表示，“保护虚拟机安全的自我防御，虚拟机甚至在混合信任级别的环境中可以保证安全和防护，如入侵检测和防御，防火墙，完整性监控，日志检查和防病毒的能力等。”
　　
　　争夺资源
　　
　　当杀毒软件和安全应用程序从物理服务器应用到虚拟机上时，这意味着资源利用率是一个问题。最坏的情况下，可以会产生一个所谓的为防病毒风暴。“这场风暴就像是银行挤兑货币一样，在服务器中，所谓的银行就是内存、存储和中央处理器的基础虚拟化资源池。而这影响了服务器应用程序和VDI环境的性能。”
　　
　　该报告强调，虚拟化感知技术将最大限度地减少资源使用，一台主机服务器上的虚拟机密度增加时尤其如此。“一个专门的扫描虚拟机可以在虚拟机之间交错扫描并进行协调，保护主机资源。”该报告说。“而且无代理防毒删除从虚拟机客户端的杀毒软件，并在专门的安全虚拟机集中这些功能，从而大幅减少占用上虚拟主机内存。”
　　
　　自我防御虚拟机安全
　　
　　该报告的作者们对重点放在了一些被称为“自我保护的虚拟机安全”。虚拟化和云计算：最佳的安全性的做法，这个概念是在最近的报告中进行了解释：
　　
　　“通过在每个虚拟机中的安全边界创建虚拟机级保护，企业可以在同一主机上的应用程序设置不同信任级别，并且可以在一个共享的多租户环境中保证虚拟机的安全，甚至在不同的虚拟机环境之间，这些环境包括从内部部署虚拟服务器到私有云和公有云，甚至是云供应商之间”。
　　
　　安全性必须与数据并行
　　
　　如今，数据中心必须专注于数据安全操作，以满足客户的需求，并确保环境安全，无论是在虚拟环境中还是在云计算中，甚至在移动设备中。
　　
　　编辑：Harris