安全问题常常似乎不太被人们所注意,但下面这六个问题肯定会催促IT专业人士立即行动起来。
一、存在风险的服务器虚拟化值得采用吗?
从传统服务器改用虚拟机方案的优点在于,可以通过整合硬件来节省成本,并且大大提高灵活性。但是不太受人欢迎的影响是,会带来安全缺口和虚拟服务器散乱问题,这些风险遭到了审计人员的抨击。
Douglas Drew是英国电信(BT)集团新兴技术办公室的一名高级顾问,兼支付卡行业(PCI)标准的审计人员。他表示,虚拟机安全往往事后才得到处理。他说:“你如何来处理访问控制和审计工作?假设我把虚拟机实例从服务器机架A迁移到机架B:一个是需要物理徽章才能访问控制台的锁定机架、另一个不是这种机架吗?虚拟机管理程序是否允许管理员A和B相互分离,以便管理员A只能以逻辑方式访问系统A、管理员B只能访问系统B吗?如何根据架构出现的变化来重新评估风险?”
与较为传统的网络一样,虚拟机环境――不管基于VMware、XenSource还是微软的技术――都需要采取ISO 27002标准针对安全系统而规定的最佳实践。Drew说:“我们看到有些情况下,人们正是由于对安全不放心而迟迟不愿采用虚拟机。”
许多人表示,默认状态下的虚拟机软件还不够安全。
David Lynch是开发虚拟机生命周期管理软件的Embotics这家新兴公司的营销副总裁,他说:“虚拟机是移动的,设计初衷就是这样。你拿来一台物理服务器后,对它进行克隆,结果就失去了物理服务器的身份;而你现有的管理工具基于这一概念:你拥有物理服务器。”
Lynch认为,照目前的设计来看,VMware公司的虚拟中心(VirtualCenter)管理软件无法阻止虚拟机散乱问题,因为虚拟机的身份号可以更改及重新设定。他补充说,不可能确保使用不止一个虚拟中心的企业只有惟一的虚拟机身份系统。
可与虚拟中心管理软件兼容的Embotics软件采用了密码散列,并结合虚拟机元数据,标明虚拟机身份的合法性与真实性,试图以此弥补这个不足。包括Fortisphere和ManageIQ在内的其他新兴公司也在着手解决虚拟机散乱问题。
一些安全厂商确信:主要几家虚拟机软件开发商在争先恐后地推出产品,试图夺取市场份额,结果用Q1 Labs公司的产品项目经理Andrew Hay的话来说,“安全成了事后才想到的问题。”
Hay强调,现在缺少有助于监控活动的具有Netflow功能的虚拟交换机。他说:“你创建的一个不同网络恰好位于同一个设备上。但没有人竭力要求虚拟机领域采用流量分析。”
这一切会阻止IT管理人员走上虚拟化道路吗?据Hay声称,说到底,“最好你在积极采用之前研究一下可供选择的方案。”
