很多公司熱衷于虛擬化這東西�,卻沒有在安全上做出相應(yīng)的改變。僅僅是簡單地將物理技術(shù)措施用在虛擬化上��,出現(xiàn)漏洞是必然的��。
根據(jù)一項(xiàng)新的研究發(fā)現(xiàn)���,約85%的英國企業(yè)沒有針對(duì)虛擬化更新安全工具�����。2009年����,虛擬服務(wù)器的數(shù)目第一次超過物理服務(wù)器,其后虛擬化一直有著強(qiáng)勁的增長����。
安全專家公司Trend Micro委托研究公司Vanson Bourne做的一項(xiàng)研究發(fā)現(xiàn),很多企業(yè)似乎沒有意識(shí)到隨虛擬化而來的危險(xiǎn)����,只有不到一半承認(rèn)虛擬化引入了新的風(fēng)險(xiǎn)而需要相應(yīng)的安全措施。
Trend產(chǎn)品經(jīng)理James Walker說��,“通常他們會(huì)采取傳統(tǒng)上用于物理環(huán)境的安全方法�,嘗試著用到虛擬環(huán)境上��。這會(huì)對(duì)性能有影響�����,因?yàn)閭鹘y(tǒng)的安全方法不是為虛擬環(huán)境設(shè)計(jì)的��。它沒有考慮虛擬環(huán)境的特殊性����,會(huì)有安全漏洞。”
安全管理問題
Walker說��,傳統(tǒng)的安全工具用在虛擬機(jī)上時(shí)往往力不能及,還會(huì)有管理上的問題�����。
他說�,“(傳統(tǒng)方法的)安全軟件是裝在物理機(jī)上的。你知道機(jī)器在哪里��,你知道有哪些應(yīng)用程序在運(yùn)行���。機(jī)器有它自己的處理器和內(nèi)存����,比如�,可以用來做定期掃描。”
“現(xiàn)在����,在一個(gè)虛擬環(huán)境下,會(huì)有幾個(gè)虛擬機(jī)在同一個(gè)物理服務(wù)器上運(yùn)行�����,共享內(nèi)存和處理器��。某一定期掃描開始運(yùn)行時(shí),完全可以用光服務(wù)器上的資源而影響其他應(yīng)用程序�,造成程序不能運(yùn)行或無反應(yīng)的情況。”
研究發(fā)現(xiàn)��,10個(gè)企業(yè)里面有9個(gè)說他們對(duì)維護(hù)安全感到力不從心���,并說虛擬化是造成IT基礎(chǔ)設(shè)施復(fù)雜性增加的一個(gè)因素���。只有11%的受訪者認(rèn)為他們做足了安全更新。
Walker說��,虛擬化的安全管理問題涉及到補(bǔ)丁���,安全策略和軟件簽名。
“新的虛擬機(jī)在配置時(shí)或是虛擬機(jī)休眠時(shí)����,更新沒有跟上。我們稱之為現(xiàn)開間斷(instant-on gap)��,F(xiàn)開間斷會(huì)帶來一些問題�。這些虛擬機(jī)開始運(yùn)行或復(fù)活后,它們的相關(guān)軟件簽名或安全策略不是最新的�,這會(huì)導(dǎo)致極大的潛在問題��,”沃克說��。
“另一個(gè)問題是�����,將虛擬機(jī)從一個(gè)Hypervisor上移到另一個(gè)Hypervisor上時(shí)�,傳統(tǒng)意義上的安全已不復(fù)存在�����。安全管理上一旦涉及到復(fù)雜性�����,安全管理就會(huì)變得非常困難�。“
主要的安全隱患
Trend的技術(shù)總監(jiān)Michael Darlington也同意虛擬化的主要安全風(fēng)險(xiǎn)在于現(xiàn)開間斷(instant-on gap)。
“現(xiàn)開間斷(instant-on gap)是一個(gè)大漏洞�。比如說,突然要交季度末尾或是年底報(bào)告���,開了服務(wù)器運(yùn)行�����。那這服務(wù)器有好一段時(shí)間沒有運(yùn)行��。如果像在傳統(tǒng)的環(huán)境中一樣���,你會(huì)把這期間所有微軟發(fā)布的補(bǔ)丁�����、Java更新�����,不管是些什么更新����,全送給這臺(tái)機(jī)器��,這機(jī)器就在那待上一天����,或是一個(gè)小時(shí)��,或是10分鐘——沒人知道多長時(shí)間——運(yùn)行更新序��,”Darlington說。
他說��,問題的答案是將安全技術(shù)定位在Hypervisor層次上����,如此當(dāng)虛擬機(jī)器開了以后就不會(huì)有安全漏洞,因?yàn)镠ypervisor已經(jīng)確保安全補(bǔ)丁是更新過的�。
研究對(duì)100個(gè)擁有1000名員工以上的公司調(diào)查發(fā)現(xiàn),在使用虛擬化環(huán)境的公司里�����,44%的公司正在使用基礎(chǔ)設(shè)施作為服務(wù)(IaaS)或計(jì)劃會(huì)這樣做�����。
大部分公司���,即是61%的公司����,在用IaaS的同時(shí)支付安全服務(wù)費(fèi)用���,但一半的公司則只是把對(duì)付數(shù)據(jù)中心那一套安全措施用到這些服務(wù)上�。十分之四的公司認(rèn)為基礎(chǔ)設(shè)施服務(wù)使得管理IT安全更趨向復(fù)雜化。
