管理和整合物理机和虚拟机的安全-无论在线和离线-无疑都是一个挑战,截止当前,还没有明确的“最佳实践”方法。根据Gartner公司最近的研究报告,2009年,60 %虚拟机的安全性将弱于相应的物理服务器。这一数字突出了确保虚拟机安全面临的挑战,也突显了培训一些能在需要的时候在物理环境和虚拟环境之间转换的管理员的匮乏。
我认为挑战可分为两类:人员和安全工具,或人员和安全工具的缺乏。当涉及到安全管理的人为因素时,尽量避免将物理系统管理和虚拟化资源管理分开为单独的管理结构。如果发生什么事情,IT部门的人员必须得准备更加密切地工作,否则你会为此浪费时间和资源。在纯粹的物理IT环境中,许多角色是独立的清晰明了的,如服务器管理,存储,网络和安全。当服务器虚拟化被引进时,在这个行业仍然在学习虚拟化如何充分影响网络和服务器的安全性景观。现有确保物理服务器安全的策略,技术,配置和实践,根本无法简单地以同样的方式应用于虚拟服务器。比如,安全设备和策略需要消除对IP地址的依赖性,因为由于虚拟机的创建、删除或者迁移将引起IP地址更加经常地变化。
此外,在虚拟化主机内网络可视性将会有所降低。传统的网络安全工具不一定能看到在同一主机内不同虚拟机之间的通信,这使异常通信的检测变得困难。变更管理程序也应进行检查,以确定如何和何时记录变化。例如,将来的审计员,是需要对主机创建变化日志还是对客户机创建变化日志,或者两者都要?
第二个挑战是寻找帮助确保混合基础设施安全的工具。物理世界和虚拟世界的安全工具绝大多数是不一样的。例如,虚拟机的工具和实用程序在类似VMware的环境下运行良好,但他们并没有真正被设计为能复制到综合物理系统中。许多厂商,如微软,戴尔,IBM和惠普公司正在试图解决这个问题。例如,Check Point软件技术公司的VPN - 1虚拟环境,为物理网络和虚拟应用提供统一的安全管理,允许系统管理员从同一个接口运行虚拟、物理和网络安全任务。重要的是它为包括虚拟环境在内的整个安全基础设施提供了统一的日志记录。这是混合环境审计和遵守的关键因素。
当涉及到的补丁管理,Shavlik技术公司的NetChk Protect现在能为在线和离线的虚拟机、物理机提供集中的补丁程序管理。它也能发现离线的虚拟镜像。赛门铁克公司的Backup Exec 12.5支持VMware ESX和微软Hyper- V的虚拟机和物理机备份,并允许系统管理员使用一个控制台来备份物理机和虚拟机器到磁盘。
毫无疑问,虚拟化显然有许多好处,并能减少了总成本,但是在今后的一段时间内,运行异构基础设施的物理机和虚拟服务器将仍然是一种挑战。企业安全管理人员应及时了解虚拟化系统面临的威胁以及虚拟化在发展过程中的安全创新。
【编辑推荐】