|
二、虚拟化威胁近在眼前
如果公司一味扩大服务器虚拟化,而不考虑虚拟机有别于物理机器的地方,就无异于为入侵者敞开了进入数据中心的新大门。我们还无法确认这类威胁的具体性质,因为它们还没有切实出现过。因此而高枕无忧的任何人在过去两年里肯定没有注意过信息安全。
VMware和开源厂商XenSource提供的虚拟机管理程序(hypervisor)软件是数据中心中一层新的特权软件,类似操作系统,可以全权访问其他软件资源;但与操作系统不同,它没有经过多年的测试与评估。Gartner公司估计,直到2009年,60%的虚拟机不如物理机器来得安全。如果存在安全漏洞,入侵者只要能访问虚拟化服务器的虚拟机管理程序,就能控制该虚拟机管理程序管理的所有虚拟机。
许多公司保护虚拟服务器的方法与保护物理服务器的方法一样。如今只出现了少数几款专门的工具可以监控及保护VMware的ESX虚拟机管理程序,如Reflex Security公司的VSA和Blue Lane科技公司的VirtualShield.针对Xen的安全工具则比较粗糙、简单。
VMware指出,银行和军队使用ESX Server,这证明这是个安全的平台。但是虚拟机管理程序的运行有别于操作系统在物理服务器上的运行。
Blue Lane公司的高级副总裁Allwyn Sequeira说,VMware的VMotion工具能够找到虚拟机管理程序,然后转移到另一台物理服务器上来运行,但失去了原来的安全环境。Sequeira说:“采用虚拟化之前,防火墙、路由器和服务器都有一个相对静态的架构以确保安全。”安全策略针对某个特定的TCP/IP地址,这很常见。他说,当VMotion把虚拟机转移到新的服务器和新的TCP/IP地址时,新旧两套安全策略应该保持同步,但常常并不同步。
想跟踪所有虚拟机、控制在视野范围之内也很难。Blue Lane公司的一个客户曾忽视了一台虚拟机,直到后来检查时才发现它在6个月前就启用了。要是入侵者偶尔发现了这台虚拟机,危险就更大,因为没有哪位管理员在跟踪这台虚拟机。
虽然BMC、冠群和惠普等系统管理厂商正在添加更多的虚拟机管理功能,但现在还是轻而易举就能离开管理员的视线。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页
 【责编:Stephen】
 |
