调查显示:企业虚拟化安全是个短板

企业对虚拟化的采用持续呈上升趋势,但是这方面的安全却不容乐观。调查显示,企业在保护管理程序的时候没有强制执行有效的职责分离和采用适当的技术。

最新调查显示,企业在保护虚拟化环境安全方面一直是抱着偷懒的心理。在对302名IT经理、安全专家、审计人员和管理人员进行的调查发现,虚拟化部署好似一道美丽风景,没有多少人真正放在心上,管理程序没有受到适当的保护,也缺乏权责分明的体制。

调查显示,65%的受访者表示,他们没有对享有配置虚拟机职责的员工和其他管理人员小组进行职责分离。无独有偶的是,34.9%的受访者表示,他们很担心那些趁机利用管理员权限做事的内部人员。此外,调查显示,违规一个虚拟化管理人员的证书让黑客可以进出自如。

“虚拟化管理人员有访问服务器、存储和网络基础设施的全部权限,而此前的服务器管理人员可能会因为访问网络基础设施的受限而被禁止干扰网络操作,反之亦然。”专家表示。

然而,管理程序看似是安全的一个重点的保护对象,许多受访者表示他们在日志和报告方面做的却不是很多。尽管79.5%的受访者表示监管虚拟化层很重要,但是仅有29%的人表示他们会直接收集管理程序的日志。21%的受访者表示他们会从虚拟管理应用中收集日志。仅有16.9%的人表示会对活动和控制的日志收集,仅有15.7%的人会从虚拟管理应用级别收集日志。

此外,58%的表示,相对于一些专门为虚拟化环境设计的安全解决方案(20%的人这样做)来说,他们的组织还在用传统的办法来应对虚拟化安全。专门的虚拟化工具的短缺没有减慢企业技术应用的趋势,85%的人表示,他们已经在某种程度上实现了虚拟化。大部分人预计到2011年末,30%的生产服务器都将实现虚拟化。

“实际上现在有很多安全技术可以采用,但是现在市场大部分人还没达到成熟的地步。”专家表示,“技术不是唯一的推动者,但是没有规则这些技术不会那么有用。我们见到的成功实现虚拟化的用户都像部署其他典型的IT举措一样,在部署虚拟化的时候定义了规则,并采取一些做法确保这些规则的实施。”