虚拟化技术中应用最广泛的当属服务器虚拟化,这种技术通过一台或多台物理服务器构建成一个虚拟化环境,在这个虚拟化环境中虚拟出数个甚至数十个虚拟系统,每个虚拟系统对外提供一种或多种服务,各个系统之间相互独立。通过物理的几台服务器和虚拟化软件实现了原来需要数十台设备才能提供的服务。虚拟化技术为人们带来便利的同时,也为信息安全提出了新的问题。
虚拟化安全面临的挑战
由于虚拟化模糊传统边界、虚拟机数量激增等特点,为目前常见的安全防护手段提出了新的挑战,主要体现在以下方面:
一是由于网络边界的虚拟化使传统网络边界的防护手段失效。
在传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护。因此基于物理设备进行边界防护的手段不适用于对虚拟化环境的边界保护。
二是虚拟系统数量的快速增长带来的对计算环境基础防护软件管理的难题和资源消耗的难题。
在传统安全中,病毒防护和系统补丁是每个服务器都必须采取的基本安全措施,在应用虚拟化环境之后,这样的安全防护仍然是最基本也是必须的。但问题在于,由于虚拟系统的数量较物理系统数量大大增加,为每个虚拟系统都进行病毒防护和补丁管理将大大提高系统管理的成本;另一方面,每个虚拟系统采用这样的防护手段将占用物理系统大量的存储资源,如果虚拟系统同时进行病毒查杀,更会占据物理服务器的运算资源,降低系统对外提供服务的能力。
三是虚拟化管理工具自身缺乏保护措施带来的隐患。
虚拟化管理工具为快速配置虚拟化环境提供了极大的方便,但也正是由于这个原因,导致它极易受到攻击。一旦恶意攻击者获得管理工具的权限,给整个虚拟化环境带来的危害将是巨大甚至是灾难性的。