网络安全 频道

我们亟需应对虚拟化带来的安全问题

    简明道理

    就像一个人开车时不系安全带、老担心会被闪电击中那样,你最有可能遇到的是与虚拟化技术有关的普通危险。比方说,胖主机和基于虚拟机管理程序的主机都面临这种风险:来宾操作系统因传统的威胁途径和漏洞而受到危及。某台面向公众的服务器要是没有打上补丁或者保护不力,就会面临险境,不管它在独立机器上运行,还是作为其中一个虚拟机在大型主机平台上运行。

    不过常识表明,一家组织面临的风险与其对虚拟化和服务器整合的依赖程度成正比:每个平台上的虚拟机数量越多,未检测到的主机内问题扩散开来的危险就越大。实际上,传统的独立式(off-box)防御机制发现不了主机内威胁。外部防火墙及其他安全工具无法检查或者控制主机内通信;在这种通信中,数据包从来不会离开主机、进入到有线基础设施。实际环境中存在一些常见问题,在复杂的主机环境下很难被发现,它们包括:外来或者可疑的主机内串话干扰伪装成合法通信,这表明存在端口扫描、病毒行为或者其他恶意软件;以及直接(针对性)或者偶然的拒绝服务攻击,由于耗用了CPU周期、输入/输出资源或者虚拟化网络带宽,这些攻击会影响其他来宾虚拟机。

    Neohapsis公司的Shipley说:“纯粹从操作的角度来看,‘把更多鸡蛋放在一只篮子’这种风险与不断变化的威胁途径关系不大,主要与无所作为的IT有关。”他补充说,IT部门同样的一幕曾经出现在早期的存储区域网络上。“大多数组织通过额外容量设计、进行虚拟服务器迁移演练以及及时打上补丁,就能够管理这个风险。”

    最后一条经验值得重申。

    他说:“即使我认为VMware在减小攻击范围方面做得很好,但ESX/VI3仍是从Linux发展而来的操作系统;正因为如此,它需要打上补丁。问题在于,给ESX服务器打补丁的风险比较大,带来的干扰也比较大,因为你停掉的不仅仅是一个操作系统,停掉的还有在上面运行的所有操作系统。”

    好消息是,迄今为止我们看到关键的VMware补丁相对较少。

0
相关文章