追求IT能效和成本节约的企业绝对会爱上虚拟化。因为将服务器机架缩减为规模更小,价格更便宜的服务器农场这个绝妙的办法是每家企业都无法抗拒的。
安全厂商也希望通过这种方法实现"云上的安全"这一承诺。但很多用户对虚拟化的了解非常有限,工业专家认为这成为阻碍虚拟化推广的一个难题。
优利系统公司系统和技术部门的首席安全架构师兼Skybox安全用户咨询委员会顾问的克里斯.霍夫表示"你可以去了解一下人们如何看待虚拟化,在多数人眼中,虚拟化的概念是非常狭义的,那就是服务器整合,对应用软件和操作系统进行虚拟化,把数据中心中大量的服务器整合为较少的物理服务器。或者虚拟化就是其他的元素,诸如客户端桌面系统,存储,网络,安全等"。
霍夫表示,虚拟化的概念因人而异,所以围绕虚拟化构建安全战略非常困难。
霍夫并非唯一对虚拟化安全表示担忧的人。Opus One的安全专家和资深合作者Joel Snyder表示,虚拟化可以通过多种方式节约成本,比如灾难控制,性能规划,系统管理和安全等。
虽然很多企业并不理解这项技术真正的作用,对它所面临的安全挑战也知之甚少。制造Snort开源IDS工具的安全厂商Sourcefire的市场总监米歇尔.佩里也很关心这个问题,目前他们还无法对应用环境中的新增虚拟化进行提前跟踪或者识别。
佩里介绍说"由于对虚拟化的认知度有限,企业无法控制虚拟机的蔓延,虚拟系统在应用环境中无序发展,却缺乏相应的企业IT战略或者安全措施的保障,这就为重大安全问题埋下了隐患,比如未经及时打补丁的服务器,未经授权的访问或者使用等等"。
佩里还补充说,虚拟系统也会增加数据和隐私保护的问题,因为虚拟机可以随时被迁移或者删除。
而对于那些坚持云战略的人来说则是幸运的,虚拟安全就不再是纸上谈兵。
"不能因为虚拟化改变了我们的安全环境,就认为它带来了不可解决的问题,或者说生活突然变得更加复杂和不可控制了"Snyder解释说"反之,我们要意识到虚拟服务器环境中的安全是不同的。你应该从不同的角度去考虑这个问题,使用不同的工具来获取与过去同样级别的安全保障和风险管理"。
即使是对虚拟安全持怀疑态度的霍夫也从云计算中看到了一丝希望的曙光。他强调说知名安全厂商正在重新设计他们的应用软件来利用VMware的vNetwork/VMsafe的应用编程接口。Check Point,赛门铁克, McAfee,趋势科技和其他一些厂商的合作也更加紧密和更加融合。
霍夫表示"技术性和可操作性随着合作的紧密和融合会更好的结合在一起"。集成中最新的案例就是VMware收购了Blue Lane Technologies,Blue Lane Technologies是为保护物理和逻辑基础结构提供解决方案的制造商,他们的产品包括ServerShield和VirtualShield。公司最近的动向主要是关注后者,主要为用户提供应用软件防火墙保护,内部虚拟机流向分析,应用软件政策控制,入侵检测能力等。
与Blue Lane解决方案的结合再加上VMware的vNetwork/VMsafe的应用编程接口自身的入侵检测能力,将增加平台自身的基础防御性能,还能帮助提高建设更加安全的虚拟操作环境的灵活性。
霍夫表示"这是一种非常好的办法,因为它能保证底层虚拟化平台更加安全,但是在它顶部运行的应用程序也能同样的安全"。
不过安全专家警告说,所有活跃在虚拟安全领域中的厂商都不会让用户在不考虑风险的情况下就一头扎进云里。如果企业没有充分理解虚拟化的细节所在,风险就会存在下去。
