虛擬化技術本身在安全方面并沒有什么優(yōu)勢,相反,由于采用虛擬化部署可能導致在上面處理的所有工作負載受到危及,使得數(shù)據(jù)安全的危害面更大。在傳統(tǒng)架構中,如果一臺服務器受到安全威脅那么只會使該服務器上的工作負載面臨險境,然而在虛擬化數(shù)據(jù)中心中,如果一臺虛擬化服務器受到攻擊,那么將會影響該服務器上的所有虛機。
虛擬化對服務器的保護增加了更高的挑戰(zhàn),沒有采用虛擬化技術的時候,我們可以將服務器物理隔離,然而當在虛擬化世界中,我們的硬件配置、補丁管理、網(wǎng)絡安全以及監(jiān)控將涉及到更多的虛擬機,攻擊一臺物理服務去,可能讓攻擊者訪問許多不同的虛擬機中機密數(shù)據(jù)。這樣虛擬化的安全任務成為了重中之重。
下面是Gartner公司闡述的服務器虛擬化可能面臨的五個風險:
1.信息安全團隊并不是沒有在初期參與虛擬化項目
很多企業(yè)在進行虛擬化方面的規(guī)劃和建設的初期并沒有讓信息安全團隊參與進來。根據(jù)Gartner的調(diào)查數(shù)據(jù)顯示,有40%的虛擬化項目的安全團隊并沒有參與初期架構和規(guī)劃階段的情況下就倉促上馬了。
2.一個虛擬化層的妥協(xié)可能導致所有托管的工作負載的妥協(xié)
由于虛擬機的管理程序統(tǒng)管物理服務器上的所有運行的虛擬機,這樣可能導致當一虛擬化層被攻破的時候而影響服務器上的所有的工作負載。
3.在內(nèi)部創(chuàng)建的虛擬網(wǎng)絡為VM-VM通信百葉窗現(xiàn)有安全策略的執(zhí)行機制缺乏可視性和監(jiān)控
在物理服務器中,里面可能有很多的虛擬機正在工作,能夠創(chuàng)建基于軟件的虛擬網(wǎng)絡和交換機在物理主機內(nèi)實現(xiàn)虛擬機——虛擬機的直接溝通。但是在虛擬機和虛擬機之間的溝通則缺乏監(jiān)控和保護,來自虛擬化內(nèi)部的攻擊很難被發(fā)現(xiàn)和及時制止。
4.不同信任級別的工作負載整合到一臺物理服務器中而沒有足夠的分離
針對服務器中的不同工作負載,其安全等級要求可能會有不同,而虛擬化管理程序雖然能夠對一臺服務器進行統(tǒng)一的管理、監(jiān)控等操作,但是卻很難做到不同需要不同配置的要求。當不同工作負載相結合的時候,與其他工作負載的不同信任區(qū)域在同一個物理服務器沒有足夠的分離。
5.缺乏適當?shù)目刂乒芾碓L問權限
因為管理程序/虛擬機管理層提供關鍵的支持,這層的管理訪問權限,必須嚴格控制,但是這是復雜的事實,大多數(shù)的虛擬化平臺提供多條路徑管理這一層。
總結:隨著虛擬化在金融行業(yè)、教育行業(yè)、國防等領域的逐漸普及,虛擬機的安全性越來越成為企業(yè)、事業(yè)必須重視的環(huán)節(jié)。
