虚拟化安全:公司认识不够

很多公司热衷于虚拟化这东西,却没有在安全上做出相应的改变。仅仅是简单地将物理技术措施用在虚拟化上,出现漏洞是必然的。

根据一项新的研究发现,约85%的英国企业没有针对虚拟化更新安全工具。2009年,虚拟服务器的数目第一次超过物理服务器,其后虚拟化一直有着强劲的增长。

安全专家公司Trend Micro委托研究公司Vanson Bourne做的一项研究发现,很多企业似乎没有意识到随虚拟化而来的危险,只有不到一半承认虚拟化引入了新的风险而需要相应的安全措施。

Trend产品经理James Walker说,“通常他们会采取传统上用于物理环境的安全方法,尝试着用到虚拟环境上。这会对性能有影响,因为传统的安全方法不是为虚拟环境设计的。它没有考虑虚拟环境的特殊性,会有安全漏洞。”

安全管理问题

Walker说,传统的安全工具用在虚拟机上时往往力不能及,还会有管理上的问题。

他说,“(传统方法的)安全软件是装在物理机上的。你知道机器在哪里,你知道有哪些应用程序在运行。机器有它自己的处理器和内存,比如,可以用来做定期扫描。”

“现在,在一个虚拟环境下,会有几个虚拟机在同一个物理服务器上运行,共享内存和处理器。某一定期扫描开始运行时,完全可以用光服务器上的资源而影响其他应用程序,造成程序不能运行或无反应的情况。”

研究发现,10个企业里面有9个说他们对维护安全感到力不从心,并说虚拟化是造成IT基础设施复杂性增加的一个因素。只有11%的受访者认为他们做足了安全更新。

Walker说,虚拟化的安全管理问题涉及到补丁,安全策略和软件签名。

“新的虚拟机在配置时或是虚拟机休眠时,更新没有跟上。我们称之为现开间断(instant-on gap)。现开间断会带来一些问题。这些虚拟机开始运行或复活后,它们的相关软件签名或安全策略不是最新的,这会导致极大的潜在问题,”沃克说。

“另一个问题是,将虚拟机从一个Hypervisor上移到另一个Hypervisor上时,传统意义上的安全已不复存在。安全管理上一旦涉及到复杂性,安全管理就会变得非常困难。“

主要的安全隐患

Trend的技术总监Michael Darlington也同意虚拟化的主要安全风险在于现开间断(instant-on gap)。

“现开间断(instant-on gap)是一个大漏洞。比如说,突然要交季度末尾或是年底报告,开了服务器运行。那这服务器有好一段时间没有运行。如果像在传统的环境中一样,你会把这期间所有微软发布的补丁、Java更新,不管是些什么更新,全送给这台机器,这机器就在那待上一天,或是一个小时,或是10分钟——没人知道多长时间——运行更新序,”Darlington说。

他说,问题的答案是将安全技术定位在Hypervisor层次上,如此当虚拟机器开了以后就不会有安全漏洞,因为Hypervisor已经确保安全补丁是更新过的。

研究对100个拥有1000名员工以上的公司调查发现,在使用虚拟化环境的公司里,44%的公司正在使用基础设施作为服务(IaaS)或计划会这样做。

大部分公司,即是61%的公司,在用IaaS的同时支付安全服务费用,但一半的公司则只是把对付数据中心那一套安全措施用到这些服务上。十分之四的公司认为基础设施服务使得管理IT安全更趋向复杂化。