很遗憾,一项新的调查发现,许多人在用以前的安全工具来确保数据中心虚拟化环境的安全。
最近,加布里埃尔咨询集团开展了一项新的调查,迈克菲公司发布了调查结果。其结果显示:我们在使用同样的工具来确保物理服务器和虚拟服务器的安全!
在2010年第三季度期间,中小企业到特大跨国公司的140多名数据中心从业人员接受了调查;调查的问题涵盖面很广,从现有安全措施具有的效果(他们的数据中心安全措施是否跟得上攻击数量和复杂性都与日俱增的态势),到对于安全方面的顾虑是不是在阻碍采用私有云或公共云的步伐持什么观点,不一而足。
《2011年数据中心安全调查》白皮书可以在此下载(http://gabrielconsultinggroup.com/gcg-news-and-views/20-general-blog/313-data-center-security-survey-improving-security.html)。
还是回到保护虚拟环境和物理环境安全的工具类型方面的调查结果吧。约70%的调查对象在受访时表示,他们使用同样的安全机制来保护物理系统和虚拟化系统。只有20%多一点的人不同意这一观点(剩下极少数人居然不知道安全工具还分虚拟安全工具和物理安全工具)。
一年多前, Gartner发布了调研结果,估计当时有60%的虚拟服务器不如被他们更换的物理服务器来得安全。Gartner当时还预测,这种不安全的现状会一直持续到2012年。
原因很明显:与虚拟化技术有关的安全问题以及虚拟化工作负载与物理环境下的情况不一样。
正如Gartner当时所言,虽然IT人员可能认为,自己已经具备确保工作负载、操作系统和底层硬件安全的技能(你也知道,底层硬件方面其实没有任何变化),但是现在有一个新的软件层:虚拟机管理程序和虚拟机监控程序,它们必须考虑在内。Gartner解释,这个新的软件层带来了新的安全漏洞。而如果虚拟化层面临威胁,在上面运行的所有工作负载都有可能受到危害。
这家调研公司还表示,企业机构不该依赖基于主机的安全控制措施来检测安全威胁,或者保护在主机下面运行的任何东西。Gartner还提到了虚拟化环境另外带来的种种风险:基于网络的安全设备看不到单一主机里面多个虚拟机之间的通信;不同信任级别的工作负载被合并到单一主机上,却没有予以足够充分的隔离;虚拟化技术没有提供足够到位的机制,控制管理员对于虚拟机管理程序和虚拟机层的访问;当物理服务器合并到单一机器上后,就面临这种风险:系统管理员和用户可能访问本来无权访问的数据。
迈克菲和加布里埃尔咨询集团认为,很少有安全套件针对虚拟化系统进行了优化;数据中心中的安全软件大多“经过了改动,以便适用于虚拟化系统,而不是着眼于虚拟化技术,完全从头设计(或重新设计)。”
起草调查的人员表示,分区迁移(partition mobility)等虚拟化功能需要得到特别的处理。虽然我们的调查对象没有提到这个问题,但我们认为,从安全的角度来看,肯定有一些虚拟化功能(如分区迁移)需要得到特别的处理。
在宣布调查结果的新闻稿中,迈克菲公司网络安全副总裁Greg Brown说:“向虚拟化数据中心迁移要求企业机构在设计阶段及早考虑安全方法。如果使用针对虚拟化环境进行了优化的网络和系统安全解决方案,可以确保数据中心持续不断地运行,性能不会受到影响。迈克菲的解决方案提供了无缝的安全管理功能,可以统一保护传统的数据中心资源和虚拟化的数据中心资源。”
迈克菲和加布里埃尔咨询集团的这项调查还有其他值得关注的内容。那就是,近一半的调查对象表示,他们在不断发现新的安全漏洞;40%以上的调查对象觉得,本企业在安全方面的步伐跟不上安全威胁的发展态势;约70%的调查对象对于公共云的安全表示怀疑;40%的调查对象表示,日常安全并不符合公司官方政策所要求的标准。