5月19日外电头条:使用虚拟化最常见的安全问题

原创
云计算 虚拟化 新闻
应用VMware、Xen和Hyper-V的虚拟环境可能会带来额外的安全问题,这时候你应该考虑什么?来听一听安全专家Edward Haletky关于虚拟化安全性的观点。

【51CTO.com快译】多年来,人们对虚拟化环境的安全性一直很担心。许多人错误的认为,仅仅因为环境是虚拟化的,那么理所当然也就不会那么牢靠。实际情况并非如此。虚拟环境和物理环境大体上是一样的,都会遭受相同的安全问题的困扰。

与此同时,也有来自不同阵营的观点认为,虚拟化环境的出现大幅度提高了安全性,甚至从根本上改变了安全性的理念。事实当然也并非如此。

虚拟化确实带来了变化,新增的hypervisor层(相关知识可参见“服务器虚拟化之三大技术完全破析”)也带来了新的安全问题,但都并不是什么翻天覆地的变化。就像在一个环境中添加任何新的组件一样——架构师和系统工程师们需要正确教育自己,学习新的组件,然后在实施时做出彻底的规划。——事实上,51CTO.com也一直在介绍这方面的情况,并推出了“打造安全的虚拟化环境”技术专题。

为了了解更多有关虚拟化的安全问题,我找到了一个知名而且健谈的安全专家,Edward L. Haletky,他是AstroArch咨询公司的总裁,一位DABCC分析师,还是VMware的社区专家,而且出版过许多部作品。以下是我们的对话摘录:

记者:在安装VMware VI3时,最常见的安全性错误是什么?

Edward Haletky:那就是使用单层虚拟网络(flat virtual network),因为这不能解决安全区域之间的差异问题。

记者:即将到来的VMware vSphere 4(51CTO.com编者注,VMware vSphere 4在4月下旬刚刚发布,VMware宣称这是业内首个云操作系统。)能够有效的解决安全问题吗,特别是那些VMware VI3没能解决的问题?

Haletky:会有一些。VMsafe将使安全工具更加有效。然而,虽然不能说全部的功能改进,但大多数的功能改进都会增加受攻击的表面积。

记者:那么你怎么看待新的VMsafe API?它会给我们带来什么样的变化呢?

Haletky:VMsafe将从根本上改变虚拟化的安全性,现在你可以通过它来建造工具,可以从中看到完整的虚拟主机。比如,原先管理虚拟网络时每三个虚拟交换机就需要一个代理,现在则变成每台VMware ESX/ESXi主机需要一个代理。然而,使用VMsafe应用也会增加攻击表面积,因为你需要把运行代理的虚拟设备包括进来。因此,在虚拟机上使用单层虚拟网络是绝对不应该再继续的了。

记者:关于Catbird等第三方解决方案,你的看法是什么?还有VMware收购Blue Lane Technologies后将为我们带来什么呢?

Haletky:我认为所有这些第三方工具比如Catbird的V-Security和Reflex System的vTrust等等将会与VMware的vShield Zones有一番激烈的竞争。它们在很多方面做的差不多,Zones整合得更好一些,但这两个第三方工具目前提供的功能要远远超过Zones。[此前51CTO.com曾经报道,VMware将向其VDC-OS平台中增加vShield Zones安全服务,让企业用户可以在他们自己的数据中心内创建所谓的“内部”云环境。这与传统IT基础架构中的隔离区有些类似,只不是这是基于虚拟机而不是物理设备的。]

记者:VMware的ESXi似乎更安全,因为它的“脚印(footprint)”比较小。这是真的吗,还是ESXi会和VI3有同样多的安全问题?另外安全问题的类型一样吗?人们似乎还是对ESXi更放心一些?

Haletky:我认为VMware ESXi和ESX碰到的安全问题是一样的。虚拟化的安全性方案不应仅仅是让虚拟主机变得更强壮而已。即便如此,许多人还是错误的认为VMware ESXi更安全些。另外大多数人把ESXi当作一个设备,他们只是按照VMware的推荐来做一两件事以提高安全性,但并不理会它的管理或访问方式。此外,我相信,大多数人都会启用ESXi的SSH功能。当他们这样做的时候,实际上丢失了真正的安全性,因为ESXi内部并没有深度防御。

记者:你能否告诉我们,你所认为的与VMware有关的最重要的两个或三个安全问题,而且是人们可能不知道的?

Haletky:第一个问题我刚才说过,就是使用单层虚拟网络,而不是寻求更强大的保护措施。而这在使用VMsafe vApps时是十分必要的。

另一个情况是许多人错误的把自己的ESX主机服务控制台和管理工具放在了防火墙的不同的两边。如果这样做的话,实际上就已经开放了许多不必要的端口。正确的做法是,他们应该把ESX管理控制台和vCenter工具放在防火墙的同一侧,并且限制只有一个协议可以访问,比如加密的RDP协议。管理员应该以这种方式来访问虚拟机和管理工具。

最后一个较常见的安全问题是不使用网络/虚拟主机(network/virtualization host)的部署方式,这种安排可以阻止零日攻击。错误的做法是直接部署到生产环境,这样的话如果操作出错,或者删除了虚拟机,还是会有东西遗留在硬盘上。

记者:你认为VMware的hypervisor与竞争对手如Xen和Hyper-V相比,它的安全性是更高还是更低,或者差不多?

Haletky:这是一个很难回答的问题。hypervisor可能会更安全,但更关键是它周围的东西是不是更安全。和VI3相比,由于纳入了VMsafe和VMDirectPath,VMware vSphere 4的攻击表面积也会变大。然而对于Xen和Hyper-V来说,它们也具有不同的攻击表面积,彼此类似但是彼此不同。所以说hypervisor并不是最关键的,关键在于那些直接或间接的接触到虚拟主机的东西。

记者:我们知道你有一本有关虚拟化的书很快就会出版。你要说些什么事情,书的重点是什么?

Haletky:书的名字叫做“VMware vSphere和虚拟底层架构的安全性:确保ESX和虚拟环境的安全”,内容就是关于所有这些直接或间接接触的虚拟主机的东西,还有构成虚拟环境的这些组件。是的,书中会讲到怎样让ESX和ESXi变得更强壮,但不止这些,还会涉及到储存、运算、管理、VDI、forensic等方面。这些方面在以前经常被排除在虚拟化管理的范围之外,但现在安全性的视角已经扩大,所有这些方面都应该包括进来,因为它们肯定会影响到虚拟主机的安全性。

【51CTO.com译稿,非经授权请勿转载。合作站点转载请注明原文译者和出处为51CTO.com,且不得修改原文内容。】

原文:Top security concerns in a virtualization environment  作者:David Marshall

【编辑推荐】

  1. 专题:如何打造安全的虚拟环境
  2. 观点:迄今为止虚拟化安全领域一片空白
  3. 五措施堵住虚拟化安全漏洞
责任编辑:老杨 来源: 51CTO.com
相关推荐

2009-04-07 08:43:04

虚拟化招聘虚拟化技能

2009-05-07 09:18:50

2009-05-11 09:01:27

2009-03-09 10:20:18

虚拟化虚拟机服务器

2009-05-31 09:01:46

Google Wave开发者大会Share Point

2009-05-18 09:17:09

2021-04-20 10:54:47

云计算IaaS安全云安全

2009-04-09 08:58:48

2009-05-04 08:43:22

程序员语言Java

2009-05-08 09:31:11

IPv6IPv4互联网

2013-09-05 09:42:06

2014-10-21 10:30:33

2009-06-02 08:57:38

JavaOneJavaSun

2009-06-05 07:41:19

Java 7模块化JDK 7

2009-03-05 12:12:37

2009-01-07 17:55:23

2009-05-20 08:47:51

2009-02-27 13:33:47

性能优化网络性能分析工具

2009-05-05 09:19:59

Solaris 10509更新Solaris 11

2009-05-12 08:50:10

点赞
收藏

51CTO技术栈公众号