如何缓解企业虚拟化系统中的安全风险?

日期:2020-05-07编辑作者:操作系统

图片 1

虚拟服务器是有很多好处,但它的安全问题完全暴露了吗?如何确保安全性?可以采用下面十个积极步骤。

虚拟化并不是天生就是不安全的,然而,很多虚拟化的工作负载正在被不安全地部署,Gartner研究公司分析师Neil MacDonald表示。

一大批拼命推销虚拟化产品和服务的厂商、顾问在风险及如何防范风险方面存在相左的观点。同时,一些安全研究人员也在大肆宣传理论上存在的风险,比如可能会出现的恶意软件。市场研究公司伯顿集团的高级分析师Chris Wolf说: 现在虚拟化方面的动静很大,让人晕头转向。

对虚拟化项目进行规划通常都应该包括信息安全团队,但是根据Gartner公司的调查数据显示,40%的虚拟化项目的初步架构和规划阶段是在没有安全团队的参与下进行的。

许多IT部门表示,在2007年开始创建成千上万个新的虚拟机时,他们认为运行速度比其他因素(如安全规划)更重要。IDC公司负责企业系统管理软件的研究主任Stephen Elliott说: 安全是虚拟化扩建过程中被遗忘的一个角落。要是想想现在虚拟机的数量,确实挺让人担忧。据IDC声称,如今,员工总数不少于1000人的公司当中有75%在使用虚拟化技术。

因为系统管理程序对所有在物理服务器上运行的工作负载进行监管,因此管理程序受到攻击的话,可能会导致所有托管的工作负载的破坏,MacDonald表示。在传统的架构中,对一台服务器的威胁只会对一部分工作负载带来风险,但是在虚拟化数据中心却不只是这样。

Gartner公司的副总裁Neil MacDonald在去年10月举办的Symposium/ITxpo大会上预测,到2009年,60%的生产虚拟机安全性将不如物理服务器。

管理程序本身同样也可能成为攻击对象。例如,Vmware正在修复其自身的虚拟化架构来去掉基于Linux的服务控制台以将攻击面从2GB减少到100MB。

安全专家Chris Hoff认为,到目前为止,围绕虚拟化安全的讨论大部分都是片面的。他是优利系统公司安全创新部门的首席架构师。其实应该这么考虑: 已经把知道的安全知识运用到了虚拟化环境中吗?我们应当确保构建的虚拟网络要与构建的物理网络一样可靠、安全。

虽然这是一种改进,但用户们仍然有很多安全问题需要考虑。Gartner公司建议,从安全和管理角度,将虚拟化平台当作是你的数据中心内最重要的IT平台

某些IT部门正在犯一个根本的错误: 他们让服务器部门单枪匹马地开展虚拟化项目,没有让IT团队的安全、存储和网络专家参与进来。这会给虚拟化技术带来内在的安全问题缺陷。

Gartner 建议,IT部门需要建立关于不同信任级别的工作负载整合的政策,并且在评估新安全和管理工具时,选择那些在物理环境和虚拟环境拥有相同管理、政策和报告标准的工具。

伯顿集团的Wolf说: 虚拟化绝大部分靠规划,而规划必须让全部团队参与进来,包括网络、安全和存储等团队。而事实上,大多数IT团队在迅速推进虚拟化的项目,安全方面的工作跟不上。如果错失了与所有专家一起规划的大好机会,那该怎么办呢?Wolf说: 安全方面想迎头赶上,不妨从认真审查虚拟基础设施入手,这要借助工具或者顾问。

IT部门必须关注安装在管理程序层的所有代码的漏洞情况,包括驱动器、插件和第三方工具等,保持所有这些的最新更新以及补丁修复。

下面是企业为了加强虚拟机安全可以采取的十个积极步骤:

即使当虚拟化层与之前的物理架构一样安全,提供更多的虚拟机的趋势意味着你的足迹扩大,也就是安全风险扩大。

虚拟化数据中心安全步骤一:控制虚拟机的数量

Turner正在寻找一些系统管理工具,例如Cfengine、Puppet Labs和Chef,来将检查补丁修复、移除旧的用户帐户和确保配置文件没有被篡改的程序自动化。

创建虚拟机只要短短几分钟。但虚拟机数量越多,面临的安全风险也越大。所以,最好能够跟踪所有的虚拟机。

即使是相对简单的工作,例如运行杀毒软件,在系统被虚拟化后,都可能变得更加复杂。

Arch Coal公司负责IT的CIO Michael Abbene说: 我们先对很不重要的测试和开发设备进行了虚拟化处理,然后转向一些不太重要的应用服务器。因为一直很成功,所以我们把目标放在比较重要的服务器上,但这么做会加大风险系数。该公司目前大约有45个虚拟机,包括活动目录服务器以及几台应用服务器和Web服务器。

Harper指出,他的工作人员必须手动更改所有Windows Server每周扫描的时间,因为否则会立即造成过高的I/O负载。

那么,如何控制服务器数量激增?一个方法是: 创建虚拟服务器要像创建物理服务器一样严格。在Arch Coal公司,IT团队对创建新虚拟机的审批很严。无论是物理服务器还是虚拟服务器,都要通过同样的流程才能获得批准。Arch Coal的微软系统管理员Tom Carter说。

Harper表示,客户既需要新产品,也需要防止虚拟化出现问题的程序,因为将虚拟机当作裸金属机来管理根本行不通。

Arch Coal的IT部门通过一个委员会(由服务器和存储等不同部门的IT员工组成,实现轮岗制)批准或者否决申请。这意味着应用开发部门的人员根本无法擅自构建VMware服务器,不过他允许开发人员提出要求。

不过,Harper和Sabre公司的高级IT专家Jim Brewster对于虚拟世界的安全性都感到十分乐观。对安全区域的物理分隔被基于软件的安全区取代,虚拟化管理工具可能会让捣乱的IT管理员难以改变系统,在不对他们的行为进行日志记录的情况下。

专家认为,虚拟机数量激增是一大问题,会导致管理、维护性能及配置供应的能力出现滞后。另外,如果虚拟机的数量超出了控制范围,就会出现意料不到的管理成本。Tom Carter说。

微软和Vmware一直都在争论在操作系统中保留多少进程以及多少进程应该推到系统管理程序层的问题,但是Brewster表示,期待更多的安全功能转移到管理程序层。

虚拟化数据中心安全步骤二:运行更多流程

我觉得对于虚拟空间正在发生的事情有更好的能见度和更多的控制将是件好事,Brewster表示。

虚拟化技术最吸引人的也许在于速度: 只要几分钟就能创建虚拟机,可以轻松移动,只需要一天而不是几周即可提供新的计算功能。但IDC的Elliott认为,放慢节奏,认真考虑虚拟化成为现有IT流程的一部分,就能够从根本上预防安全问题。

(责任编辑:admin)

Elliott说: 流程至关重要。考虑虚拟化时不仅要站在技术的角度,还要站在流程的角度。举例说,如果使用ITIL来指导IT流程,就要考虑虚拟化是否适合流程框架。如果使用其他IT最佳实践,也要考虑虚拟化的适应性。

Hoff举例说: 如果要加强服务器安全,就应当对虚拟服务器采取与物理服务器同样的一套做法。

本文由www.129028.com金沙发布于操作系统,转载请注明出处:如何缓解企业虚拟化系统中的安全风险?

关键词:

虚拟化技术

甲骨文即将支持在VMware平台上运行OracleRAC的客户,其支持政策的变化显示出公司对领先服务器虚拟化厂商的敌意降低...

详细>>

Bodhi Linux 0.1.2发布 移植Kernel内核

Bodhi Linux 0.1.2发布,Bodhi Linux 是一款基于 Ubuntu 10.04 的Enlightenment 桌面环境深度优化版。 使用 Enlightenment (E17) 作为桌面...

详细>>

那些让 Web 开发者们深感意外的事情

作为 Web开发者,对自己的行业前景,人人都有自己的看法,然而,任何行业都有出人意料的地方。著名的Web 开发设计...

详细>>

Chrome OS并非Windows杀手 别低估微软

北京时间12月8日消息,据外国媒体报道,Google的ChromeOS操作系统即将推向市场,与此同时这也将引发一大疑问,那就是...

详细>>