2008年(8065)
分类: 服务器与存储
2008-12-31 16:23:20
缺少关注的软肋
虚拟化软件即管理程序与其他类型的应用程序是不同的,它有着自身的缺陷和安全漏洞。管理程序的这种风险就是所谓的"hyperjacking",一旦入侵得逞就会危及管理程序的安全,入侵者就会肆无忌惮的访问物理服务器上的所有虚拟机。这是非常危险的,因为一台主机上可能运行着大量的虚拟机。
危及主机的连带后果将是非常可怕的,通常大家都认为管理程序的隐患是安全专家担心的问题。"虚拟化安全与管理程序的安全无关"Nemertes研究公司的分析师Andreas Antonopoulos表示。"事实上我们正在从根本上改变服务器的IT体系架构,运营模式,系统配置的运转周期和管理方法,这些努力都会为服务器营造出比管理程序本身更加安全的应用环境"。
随着企业逐步将关键任务应用软件迁移至虚拟机来减少物理主机的数量,对虚拟网络流量的忽视带来的麻烦也日渐凸显。越来越多的公司在数据中心中管理的虚拟机数量也开始日益膨胀。这些服务器都在运行关键任务应用软件。IDC预测到2011年,企业在虚拟化服务上的投资将逼近117亿美元,比2006年激增了55亿美元。
来自用户的烦恼
举例来说,卫生保健行业的软件服务供应商Quantros公司主要向医院和卫生保健部门提供随需软件来帮助他们管理病人的安全状况跟踪,监护和资格鉴定。去年,公司开始着手调研是否应该对日趋老化的网络系统进行修整。"我们的网络在不断扩容,如今它已经成为新增物理服务器时的成本瓶颈"Quantros公司网络数据中心服务总监Bryan Rood表示。
为了节约网络扩容时的成本,Quantros公司采用VMware的ESX服务器虚拟化平台来对公司大量网页和服务器进行虚拟化部署。"这对于我们的基础架构是个理想的方案,对这些系统实施虚拟化的商业需求也很旺盛"Rood表示。
随着虚拟化部署取得初步的成果,更多的虚拟化解决方案开始出台,包括用于质量保证的虚拟化系统。目前整个服务器系统由55台物理机和40台虚拟机组成的Quantros公司的也面临着安全挑战。首先,传统的网络防入侵系统无法保护一台主机上的多重虚拟机免受彼此的攻击。维护和补丁程序的升级难度也在增大。Rood就需要一种方法来确保每台虚拟系统能得到公司严格的安全和补丁流程的保护。
企业在部署虚拟化之时需要对这种类型的安全挑战做好准备。"多数公司在开始实施时,可以先对系统测试试运行。他们会发现这样做能节省开支,商业运作也更具灵活性"思杰系统公司首席安全战略顾问Kurt Roemer表示。"但是他们不会去询问虚拟化会如何改变他们现有的网络基础架构。传统的控制方法目前并不实用"。
"安全和审计团队更关心这些虚拟化环境如何行使和实现服务品质协议(SLA)下同等的安全性,实用性和延迟"优利系统公司安全创新首席工程师克里斯.霍夫表示。