企业部署虚拟技术的势头仍然强劲,但这些虚拟环境的安全性却严重不足。Prism Microsystems公司最近的调查发现,很多企业没有执行职责分离和部署相关技术来保护hypervisor(系统管理程序)。
企业部署虚拟技术的势头仍然呈上升趋势,但安全方面如何呢?
根据Prism Microsystems公司的调查显示,当谈到保护虚拟环境问题时,企业都表现得比较松懈,系统管理程序未受保护,并且缺乏职责分离。这项调查总共对302位IT管理人员、安全专家、审计师和管理人员进行了调查。
这项调查显示,65%的受访者表示他们没有在负责管理虚拟设备的人员和其他管理组间部署职责分离制度,无独有偶的是,34.9%的受访者担心不适当分配的管理员权力会导致内部人员滥用权限。此外,如果攻击者能够获取虚拟环境管理员的登录信息就等于得到了整个系统的访问权限。
“现在虚拟环境管理员可以完全访问服务器、存储和网络基础设施,而通过限制权限,非虚拟环境的服务器管理员可能无法干涉网络操作,反之亦然,”虚拟安全供应商HyTrust的创始人Renata Budko表示。
虽然系统管理程序似乎是安全方面的焦点问题,但很多受访者表示他们并没有为系统管理程序进行足够的日志记录和报告。即使79.5%的受访者赞同监测虚拟层是很重要的,而只有29%的受访者表示他们直接从系统管理程序收集日志。21%的受访者表示他们从虚拟管理应用程序收集日志,仅有16.9%对活动和控制进行报告,另外15.7%对虚拟管理应用程序进行报告。
此外,58%的受访者使用传统工具而非专门针对虚拟环境的工具来保护虚拟安全,仅有20%使用专门针对虚拟环境的工具。然而虚拟环境专用工具的缺乏并没有减缓部署虚拟技术的步伐,85%表示他们在一定程度上部署了虚拟技术,大多数受访者预计到2011年底他们会将超过30%的生产服务器进行虚拟化。
“实际上现在已经存在相当有效的安全技术,但绝大多数安全技术的市场尚未成熟,”Prism公司的营销副总裁Steve Lafferty表示,“技术只是一种途径,没有部署相应的政策的话,并不能发挥作用。成功部署虚拟技术的企业通常都是将虚拟技术像其他IT设施一样部署,确定相关政策,部署符合政策的工具。”
【编辑推荐】