Gartner的安全和基础设施安全分析师Neil MacDonald说,并不是虚拟服务机没有物理服务器安全。虚拟机在许多方面比单独的服务器更安全,因为虚拟机隔离性更好并且依靠一个主机服务器。许多虚拟机放在一台物理服务器上的物理安全问题比每个虚拟机分别放在单独的硬件上更简单。
MacDonald称,这些虚拟服务器中的每一个虚拟机仍是一个单独的服务器。每一个虚拟机都有自己的操作系统和配置。这个设置也许是、也许不是根据母公司规定的标准设置的。每一个虚拟机必须要像非虚拟机一样使用补丁和维护以便及时修复潜在的安全漏洞。但是,这样做会更复杂。
据位于科罗拉多州Loveland的信贷报告和金融服务机构Kroll Factual Data的主要技术设计师Chris Steffen说,从理论说,攻击者有可能专门攻击管理程序层,或者控制一个虚拟机并利用它攻击其它的虚拟机。然而,这种事情在自然环境中还从来没有发生过。因此,这个威胁暂时还是理论上的。
Steffen说,你可能还会遇到专门攻击你的服务器中BIOS芯片的病毒。但是,我们还没有看到太多的BIOS病毒。
Steffen和MacDonald都认为,虚拟机的最大问题是IT或者安全经理因为不能在出现风险的时候及时发现风险而失去对虚拟机的控制。
美国国家安全局不仅从内心担心这个问题,而且还把这个问题带到了软件开发实验室,提出了一个名为"NetTop"的虚拟化服务器管理方案。这个方案要求虚拟服务器的配置要防止在同一台服务器上运行的虚拟机相互干扰。但是,它没有解决所有的潜在的配置问题。不过,这个方案确实把一个具体技术层中的所有的安全流程和开发流程都集中在了一起。
MacDonald说,大多数公司不需要这种层次的保护。这种层次的保护是为那些在海外服役的特种部队设计的。但是,大多数企业确实有许多紧迫的安全问题,有些问题他们还没有认识到,或者不完全理解。那是一个根本的问题。
下面是目前人们最担心的服务器虚拟化的五大安全问题:
1.管理失败和责任
MacDonald说,虚拟服务器的主要问题是责任。与物理服务器不同,物理服务器是数据中心或者IT经理直接负责的,而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗?IT经理应该更接近物理主机吗?一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗?
MacDonald说,人们不理解这个问题:当你增加虚拟服务器的时候,除了应用程序、操作系统和硬件之外,你又增加了另一层技术。你必须要保证它的安全。
2.补丁与管理
缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同,物理服务器是由IT经理推出和配置的,IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。
MacDonald说,大多数企业都保持少量的通用的"黄金"镜像,从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是,在经过辛苦的设置支持具体的应用程序或者业务需求之后,大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。
MacDonald说,你可以对虚拟机拍一个快照,把这个虚拟机写入硬盘,这样,你下一次就不用创建同样的虚拟机,并且可以利用这个虚拟机进行灾难恢复。在需要时,就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是,大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是,有些人经常不检查,通常也没有进行检查的方法。
微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中,以便定期地发布,这样它们就能够使用补丁。
然而,对于拥有数百个虚拟机镜像的库的企业来说,这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题,或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然,VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。
3.可见性和遵守法规
虚拟服务器的设计至少在数据中心中应该是可见的。虚拟机需要的所有的存储、带宽、地面空间或者电力都来自于虚拟机所处的物理服务器。数据中心管理员如果没有监视每一个主机中的虚拟机之间的全部联系记录,这些虚拟机就变成了一个几乎失控的看不见的网络。
MacDonald说,虚拟交换机的应用让虚拟机能够相互之间沟通和跨网络地沟通。但是,除非你在那个虚拟网络中应用了物理服务器上使用了同样的控制措施,如虚拟嗅探器、虚拟防火墙等,否则,你就看不到正在运行什么东西。
还有许多遵守法规和应用的问题。不会因为你没有嗅探器看不到虚拟服务器之间传送的数据包这些数据包就不存在。MacDonald说,你也许有一个HIPPA(健康保险可携性及责任性法案)控制的工作量与一个非HIPPA工作量进行沟通,或者PCI法案工作量与非PCI法案工作量相互之间沟通。这将使你处于不利的地位。你也许知道你是否查看了那个网络的数据包。但是,这些数据包并不是来自于你查看的那台机器。因此,除非你采取额外的步骤,否则你不会知道真实的情况。
微软、VMware和思杰都在他们的基本产品中建立了对这些沟通的可见性和控制。但是,这个功能的水平还不足以达到保护用户安全的程度。
思科没有参与这件事,瞻博网络也没有参与这件事。我们还没有达到这样一个转折点,让传统的网络厂商都感到他们能够进入虚拟机领域。
在许多情况下,用户既不知道也不在乎某些风险。在上个月在拉斯维加斯举行的2009年RSA会议上,虚拟安全软件提供商Secure Passage实施并且发表的一项调查显示,72%的受访者没有使用任何类型的虚拟防火墙。主要原因是受访者不了解虚拟网络中的情况、管理虚拟安全的困难和缺少对于虚拟防火墙构成的理解。
VMware建在其VSphere版本的虚拟基础设施产品中的应用程序编程接口VMSafe能够使第三方安全厂商把它们的应用程序应用到VMware虚拟机。VMware在RSA会议上还宣布称,它在vSphere软件中内置了RSA的预防数据丢失的软件以增强安全性。
思杰首席技术官Simon Crosby在RSA会议上进行的安全辩论中称,安全应该建在应用程序中,而不应该建在管理程序或者虚拟基础设施管理产品中。
4.虚拟机蔓延
缺少对虚拟机监管的另一个后果是虚拟机蔓延。虚拟机蔓延是虚拟机没有控制的扩散。IT经理、开发人员或者业务部门的经理为了某些具体的应用需要一些额外的服务器。他们推出了这些虚拟服务器,但是,后来忘记了并且失去了对这些虚拟服务器的跟踪。
虚拟机蔓延浪费资源,创建了可能访问敏感数据的没有人监视的服务器。当以后出现问题的时候,整个公司和IT部门要清除这些虚拟机是很痛苦的。
要强迫业务部门经理填写申请表并且说明他们为什么需要额外的虚拟机,做什么用,需要多长时间减缓这个流程的速度。但是,还要给每一个人一些时间考虑每一个虚拟机是否有必要。
Steffen说,如果他们需要更换一台他们已经在运行的一台服务器,我们不会那样做。但是,采用虚拟机,你有可能让虚拟机完全失去控制。有这样多的虚拟机,你不能对保证虚拟机的安全做任何事情。
Secure Passage对RSA会议参加者的调查显示,42%的受访者担心虚拟机蔓延,特别是担心对业务部门经理随意增加虚拟机缺乏控制。业务部门经理随意增加新的虚拟机,不与IT部门进行协调并且保证管理和保护这些虚拟机。
5.管理虚拟设备
MacDonald称,有关虚拟基础设施的最佳事情之一是能够购买或者测试第三方厂商的产品,让这种产品在几分钟之内就设置完成并且开始运行,而不用在测试服务器上腾出地方,安装软件,让这个产品与操作系统和网络沟通,然后在几个小时之后再观察这个产品是否做它该做的事情。
遗憾的是,虚拟设备也是虚拟的盲目买进的产品。每一套设备都有自己的操作系统和应用程序,每一个都有自己的设置和补丁状态。你不知道那里有什么或者谁在维护它,或者不知道长期的风险是什么。它有全部设置好的和准备运行的应用程序和操作系统。你可以在五分钟之内试验这个新的反垃圾邮件服务器。但是,你不知道这套设备中是什么操作系统,是否使用了补丁。如果没有使用补丁,谁将向你提供这个补丁。