虛擬服務器管理存在安全問題

申請免費試用、咨詢電話：400-8352-114

現(xiàn)在有許多IT管理者認為，配置虛擬服務器將使他們的虛擬機免收安全漏洞和病毒的攻擊。但是Edward L. Haletky等虛擬化安全專家認為，IT經(jīng)理將驚奇地發(fā)現(xiàn)，對于保護虛擬架構他們需要付出更多的努力。

Haletky曾經(jīng)撰寫過一篇關于虛擬化安全的書籍，他表示：“目前有關虛擬化技術最大的安全問題就是很多人并不知道他們自己真正在做什么。虛擬化管理員并不是安全管理員。他們之所有不能成為安全管理員是因為有太多需要學習的技能。虛擬化管理者也不是存儲經(jīng)理，但是他們卻需要有這方面的知識?！?/P>

盡管虛擬化技術本身并不容易受到攻擊，但是安全管理員和虛擬化管理員之間的知識差異導致了虛擬服務器配置的不安全性?，F(xiàn)在虛擬化安全專家還很少，所以建議虛擬化管理員更多地掌握有關知識，審核針對他們虛擬機的策略，確保虛擬機上的功能性和內容被分配到獨立的操作環(huán)境下。

隔離你的虛擬機

據(jù)Haletky稱，虛擬化管理員必須擔心四種網(wǎng)絡：管理網(wǎng)絡、存儲網(wǎng)絡、虛擬機網(wǎng)絡和VMotion網(wǎng)絡。他說，如果虛擬化管理員不隔離這些網(wǎng)絡的話，就有可能產(chǎn)生最大的安全漏洞。

他說：“一些管理員將所有這四種網(wǎng)絡的smack標簽放在他們的DMZ上?！庇蟹浅栏窈涂焖俚囊?guī)則控制 IT部門在DMZ中的行為——首先也是最重要的一個就是禁止系統(tǒng)中有超過一個的網(wǎng)絡鏈接。Haletky表示，相同的規(guī)則也還可以應用到虛擬服務器方面，他建議IT管理者盡可能地遠離DMZ。

加拿大IDC公司安全和軟件研究主管David Senf也認同這個觀點，他說：“為了避免混淆安全策略、防止擴大權限，一些IT部門不允許DMZ中的虛擬機session停留在DMZ后端的主機上?！?/P>

Info-Tech Research Group高級研究分析師John Sloan表示，管理員可以通過特殊的安全區(qū)域內聚合虛擬機來使用網(wǎng)絡隔離。他解釋說：“有些設備可能是從其他設備上分離出來的，因此需要不同層級的安全性?！?/P>

Sloan還建議那些使用實時遷移功能（這種功能可以將運行中的虛擬機從一臺物理服務器遷移到另一臺物理服務器上，從而優(yōu)化性能、減少宕機時間）的管理員小心這項功能對安全性的影響。

他說：“有些情況下服務器設備可能需要更高層級的安全，但是他們可能需要遷移到其他設備中，是因為性能問題而不是安全問題。因此，這就增加了更多的復雜性，因為你需要了解物理服務器是如何分區(qū)的，確?！嗤姆掌鞫际褂孟嗤钠脚_?！?/P>

虛擬化解決方案提供商Tresys技術設計總監(jiān)Karl MacMillan表示：“現(xiàn)在最緊迫的安全需求就是確保虛擬化軟件本身存在的漏洞不允許用戶虛擬機在操作系統(tǒng)中引發(fā)災難或者可能闖入其他用戶虛擬機中?！?/P>

有了將具備相同訪問權限的虛擬機整合到一起的理念之后，就產(chǎn)生了在獨立虛擬機上隔離單個應用的功能。他說，這將確保你的HR應用不會受到Web瀏覽器的影響。

MacMillan表示：“這種做法的優(yōu)點在于你可以通過使用更多虛擬機的功能來加強獨立性。但是由于虛擬機繁殖迅速的特點，你還需要確保這些操作系統(tǒng)的安全性。你還要對這些操作系統(tǒng)進行升級、打補丁、對其進行追蹤等?！?/P>