“虚拟化并不是天生就是不安全的,然而,很多虚拟化的工作负载正在被不安全地部署,”Gartner研究公司分析师Neil MacDonald表示。
对虚拟化项目进行规划通常都应该包括信息安全团队,但是根据Gartner公司的调查数据显示,40%的虚拟化项目的初步架构和规划阶段是在没有安全团队的参与下进行的。
因为系统管理程序对所有在物理服务器上运行的工作负载进行监管,因此管理程序受到攻击的话,可能会导致所有托管的工作负载的破坏,MacDonald表示。在传统的架构中,对一台服务器的威胁只会对一部分工作负载带来风险,但是在虚拟化数据中心却不只是这样。
管理程序本身同样也可能成为攻击对象。例如,Vmware正在修复其自身的虚拟化架构来去掉基于Linux的服务控制台以将攻击面从2GB减少到100MB。
虽然这是一种改进,但用户们仍然有很多安全问题需要考虑。Gartner公司建议,从安全和管理角度,将虚拟化平台当作是你的数据中心内最重要的IT平台
Gartner 建议,IT部门需要建立关于不同信任级别的工作负载整合的政策,并且在评估新安全和管理工具时,选择那些在物理环境和虚拟环境拥有相同管理、政策和报告标准的工具。
IT部门必须关注安装在管理程序层的所有代码的漏洞情况,包括驱动器、插件和第三方工具等,保持所有这些的最新更新以及补丁修复。
即使当虚拟化层与之前的物理架构一样安全,提供更多的虚拟机的趋势意味着你的足迹扩大,也就是安全风险扩大。
Turner正在寻找一些系统管理工具,例如Cfengine、Puppet Labs和Chef,来将检查补丁修复、移除旧的用户帐户和确保配置文件没有被篡改的程序自动化。
即使是相对简单的工作,例如运行杀毒软件,在系统被虚拟化后,都可能变得更加复杂。
Harper指出,他的工作人员必须手动更改所有Windows Server每周扫描的时间,因为否则会立即造成过高的I/O负载。
Harper表示,客户既需要新产品,也需要防止虚拟化出现问题的程序,因为将虚拟机当作裸金属机来管理根本行不通。
不过,Harper和Sabre公司的高级IT专家Jim Brewster对于虚拟世界的安全性都感到十分乐观。对安全区域的物理分隔被基于软件的安全区取代,虚拟化管理工具可能会让捣乱的IT管理员难以改变系统,在不对他们的行为进行日志记录的情况下。
微软和Vmware一直都在争论在操作系统中保留多少进程以及多少进程应该推到系统管理程序层的问题,但是Brewster表示,期待更多的安全功能转移到管理程序层。
“我觉得对于虚拟空间正在发生的事情有更好的能见度和更多的控制将是件好事,”Brewster表示。