去年的时候,美国斯坦福医院将一般性的应用程序从传统的服务器平台转移到Vmware虚拟机器上,并发现在安全方面有明显的不足。
该医院的信息安全人员Mike Mucha表示,“我们改变了IT基础设施的性质,然而虚拟化的影响还存在不确定性。虚拟器开始演变为服务器组件的衍生物,主要由服务器组来控制,但是虚拟化的交换方面意味着传统网络本身被改变了。”
在虚拟化世界里,已经开始出现了一些安全问题,诸如在何处部署入侵检测和管理系统或者防火墙等。
虚拟机在安装和卸载VM方面有着非常快的速度,但是这种速度也可能带来另一方面的影响。
Mucha认为,应该为Vmware的ESX服务器和管理控制台添加另一层安全控制来加强安全性,主要通过从启动HyTrust来插入政策执行应用设备来实现。HyTrust控制设备对管理员和用户决策进行控制,并且能够增加针对虚拟机入侵检测的功能。
Mucha表示,在涉及到虚拟化时,出现的相关的安全风险已经得到相应解决,特别是当思科、Juniper和其他传统交换机厂商推出更先进的虚拟化交换技术的情况下。
其他安全专家也警告说,虚拟化确实将带来新的风险,但是大家应该正确看待这些风险,尤其是那些归属于监管部门的企业,如支付卡行业数据安全标准,任何涉及处理对于那些对虚拟化完全没有经验的人来说,“如果你已经做了选择,我强烈建议你不要为任何需要接受合规的项目部署虚拟化技术,”IBM公司的互联网安全系统部的主要安全策略师Joshua Corman在近日召开的Interop会议上表示。
Joshua表示,虚拟化带来新的攻击面、业务以及供应风险和复杂的功能(如在线迁移等),在线迁移功能能够将虚拟机从一台物理服务器转移到另一个服务器,这也带来新的攻击可能性,数据中心管理人员可能会担心他们的虚拟机被转移到欠安全的服务器上。
对于生产环境中虚拟化技术的使用,Corman强烈推荐Type 1虚拟:直接在硬件上运行的虚拟裸机,Type 2托管虚拟:通常用于测试和开发环境。
他还指出,PCI DSS让问题更加复杂化了,因为该标准建议每隔服务器只能有一个主要智能,这可能是意味着服务器根本不应该被虚拟化,这样才能符合PCI DSS标准。认识到这件事情的不确定性,PCI安全标准委员会计划在今年年底将为虚拟化和支付卡处理过程增加新的规定。
在合规行业的安全管理人员都以非常警惕的态度对待虚拟化技术。金融服务公司Barclays银行的安全架构和标准主管Lynn Terwoerds表示,在当前的经济局势下,企业们都在想尽办法节省开支,这也是很多企业选择虚拟化技术的原因,但是如果虚拟化可能带来高风险和安全问题,这些节省下来的开支就可能导致更大的损失。Terwoerds在上个月举行的RSA会议的专题小组讨论会上表示,“对于虚拟化安全问题,我还很担心。”
最近Barclay银行正在研究部署虚拟化技术的影响,在银行技术决策中发挥作用的风险和审计人员一直在问,“虚拟化部署将带来怎样的新风险,你能够以任何方式降低这种风险吗?”
Terwoerds表示,能够确定这些问题的数据是很难在银行环境得出来的,因为银行必须符合很多涉及数据保留的条例以及SOX法案的条例,根本没有空闲来统计这些数据。我们还想要明确界定客户的数据存放的位置,PCI标准规定就像给虚拟化部署“泼了一桶冷水”。
虽然,今天国内虚拟化应用尚未完全大规模普及,但是虚拟化的更大的问题并不仅仅是需要被大家理解的技术问题,而是如何管理供应商和合同问题,尤其是受到监管部门监管的情况下。详细,随着IT业务的快速发展,以及节能降耗呼声的增加,虚拟化技术在国内所面临的问题将越来越多。
【编辑推荐】