虛擬化安全問題目前仍然是個不確定的目標，相關專家仍在爭論實現虛擬化安全的途徑和新技術來試圖填補該方面的差距。最近在舊金山舉行的RSA安全大會上，人們對虛擬化的安全表現出了非常高的興趣。分析人士說，當然，不同的IT部門處在虛擬化問題上都有不同的關注點，一些部門仍在從老的物理角度來考慮安全性。

IDC安全產品項目經理Phil Hochmuth說：“如何在虛擬化的服務器上實現安全性仍存在很多問題。”

據Gartner公司2010年11月的一份報告說，到2012年，運行在企業數據中心的所有工作負載中的一半將運行在虛擬化的平臺上，這包括虛擬化服務器或云平臺;到2015年，控制企業內部數據中心的安全軟件中，40%的部分將完全虛擬化。

這份報告的共同作者、Gartner Fellow副總裁Neil MacDonald指出，由于虛擬機更難按地理、IP或MAC地址定義，因此入侵檢測等基本安全工具不適合虛擬機(VM)，并且外部軟件很難看到或過濾運行在一臺物理機上的虛擬機之間的通信。

Hochmuth說，在使用現有的大多數工具時，IT部門甚至難以了解某臺服務器上的多少VM打了最新的補丁。

以下是一些在為環境制定計劃時需要考慮的虛擬化安全問題：

1.速度慢的服務器就安全了嗎?

正如在物理服務器上一樣，添加安全軟件會增加工作負載，消耗資源，降低性能。虛擬化的服務器相比物理服務器來說，能夠以更高的效率來利用資源，但這并不意味著一眼就能看到在何處、如何實施安全措施。

Hochmuth說：“這聽起來很初級，但是仍存在很多爭議：是在每個虛擬機中安裝代理程序來保護它們的安全更好，還是說這樣做會消耗太多的資源，而認為使用某種可以監視一組VM的工具更好。”

在一臺4核處理器的服務器中的所有30個VM中的每一個VM上運行代理程序，你的開銷相當于運行安全軟件的30個副本，因為這樣做就是在同時運行30個安全軟件。

另一種辦法是：在物理服務器上運行可以監視所有VM和它們的操作系統的一個軟件。這種辦法從概念上講很完美，但是可能不太安全，或者可能達不到那種高效率的安全性。

Hochmuth在對比了幾家廠商產品的影響后，建議了一種“真正實際的概念證明”。他說，即使測試沒告訴你一點安全性如何的信息，“它也會告訴你哪些產品造成了運行中的某種工作負載性能下降到了你不能接受的程度。”

2.你應當讓VM在不使用加密技術的情況下相互通信嗎?

據安全測試/分析機構Sarrell Group安全經理Matt Sarrell說，虛擬化服務器不僅僅意味著能夠把多個操作系統集成到一臺機器中，它意味著在這臺機器中建立一個網絡，這臺機器中的所有VM能通過這個網絡相互通信，并能與運行在其他服務器上的應用，以及Internet進行通信。

據Sarrell說，促進在虛擬環境中采用加密技術的主要動力，來自于那些需要能夠按照HIPAA或其他隱私管理規定證明其良好的數據監護鏈的機構。

同樣的加密技術可以幫助鎖住會感染數據中心中運行的VM或系統的惡意軟件，即使一個VM受感染，仍能保護其余VM安全無恙。

Hochmuth說，往來于公有或私有云中VM的加密數據流，還可以進一步加固隔在公有云中相鄰VM之間的大門。

他說：“共享服務器公共云就像是生活在一棟公寓樓中，因此你是否安全可能取決于你的鄰居的行為有多安全。加密你的VM和數據可以使這種情況變得更安全一些，但也會受到性能下降的風險。”

3.你知道誰或什么程序在請求數據嗎?

據IDC企業虛擬化軟件部研究經理Gary Chen說，與MAC或IP地址緊密相聯的安全策略，在相關實體是虛擬時會變得效果不佳。

據Gartner的MacDonald說，當應用運行在虛擬機中時，安全設備必須考慮到誰想訪問、他們想訪問什么、何時何地訪問，以及他們是從什么設備而來。

只有在這種背景下，安全策略會比緊緊地鎖定敏感數據更有效，除非在辦公室中使用安全訪問的新雇員或未經培訓的雇員決定通過未加密的WiFi網絡將數據下載到不安全的便攜機，這種情況是個例外。

Hochmuth說，一個公有云或私有云中的虛擬機之間應當能夠執行同樣水平的安全策略，要能夠根據請求數據的環境而不是發出請求的MAC或IP地址來執行安全策略。

4.你仔細檢查過VM之間的地帶嗎?

Chen說，運行虛擬服務器意味著運行額外的操作系統—VMware的vSphere、Citrix的Xenserver或Microsoft的Windows Server 2008—這些操作系統會受到黑客或針對VM或系統管理程序的惡意軟件的攻擊。

Chen說，惡意軟件不僅能通過與Internet的連接向虛擬機傳播，而且一旦感染防火墻內或物理服務器內的一個VM后(尤其當VM被設置為使它們能相互訪問的支持故障切換或災難恢復功能時)，會在VM之間傳播。Hochmuth說，即使虛擬化軟件拆除服務器之間的高墻讓它們可以共享空間、數據或工作負載之后，數據加密或采用身份保護措施也可以在服務器之間重建這個高墻來保護數據安全。

NIST對上述基本問題的觀點

據美國國家標準與技術研究院(NIST)日前發布的有關虛擬化安全的指導說，正如物理服務器那樣，虛擬服務器必須根據機構規定的安全水平規則來打補丁、配置和維護，讓馬虎或不一致性不會給整個安全努力造成不利的影響。

NIST指導方針概要

1.如保護操作系統那樣，保護系統管理程序的安全;如果系統管理程序的作用如操作系統那樣，它就會像操作系統那樣容易受到攻擊。系統管理程序中的漏洞使運行在它上面的一切變得容易受到攻擊。

2.確立一致的指導方針來配置虛擬機和物理機的安全性，并在確立指導方針后，建立檢驗指導方針的流程。

3.將修補和脆弱性管理流程覆蓋到物理機的同時，要擴展到虛擬機。

虛擬化是指計算機元件在虛擬的基礎上而不是真實的基礎上運行。虛擬化技術可以相互獨立的空間內運行而互不影響，從而顯著提高計算機的工作效率。通過以上的闡述，希望大家已經掌握虛擬化的內容。

原文鏈接：http://netsecurity.51cto.com/art/201103/249748.htm