快捷搜索:  as    美食  大公  交警  88888  名称  美女

谁来填补虚拟机安全漏洞

  本报记者 郭涛

  Gartner的分析师Neil MacDonald在一份研究报告中指出,60%的虚拟化服务器的安全性低于物理服务器,这种状况将持续到2012年。如今,虚拟化技术的普及率越来越高。Gartner预计,2012年全球将有超过一半的工作负载被虚拟化。如果不能有效解决虚拟机的安全性问题,那么安全性问题很可能成为虚拟化应用最大的绊脚石。

  安全漏洞并不可怕

  虚拟机的安全漏洞到底有多大?McAfee Avert Labs的David Marcus表示:“如果你有能力攻击一个虚拟机,并且能够进入虚拟机之外的主操作系统,那么就完全可以控制服务器中的全部虚拟机。”

  2009年5月,网络上曾经曝光,VMware虚拟化软件的Mac版本Fusion中存在一个严重的安全漏洞。别有用心的人可以利用该漏洞,通过Windows虚拟机在Mac主机上执行恶意代码。幸好,VMware很快就发布了Fusion 2.0.4,修复了该漏洞。虚拟机生命周期管理方案提供商Embotics的营销副总裁David Lynch曾表示:“在虚拟机的安全性方面,黑客肯定是有机可乘的。如果你参加过像黑帽大会这样的技术安全大会,就会发现虚拟化技术已经成为热议的话题。很多人在关注这个领域。”

  2010年3月,据国外网站报道,核心安全科技公司(Core Security Technologies)发出警告,微软Virtual PC中存在一个未被修复的安全漏洞。黑客通过该漏洞可以成功绕过数据执行保护(DEP)、地址空间随机化布局(ASLD)等安全机制,对虚拟机发起攻击。此安全漏洞涉及微软Windows Virtual PC、Virtual PC 2007和Virtual Server 2005,所幸Hyper-V不受影响。

  从目前情况看,针对虚拟机的攻击已经不再是纸上谈兵,而是确确实实发生了。一些虚拟化方案提供商、安全厂商反馈,虚拟环境的安全问题确实存在,而且针对虚拟机的攻击和安全漏洞不断涌现。企业用户必须对那些针对虚拟机的安全威胁提高警惕。

  让人担心的是,越来越多针对虚拟机的安全威胁并没有引起广大企业管理者足够的重视。很多人在部署虚拟化技术的时候,将主要精力放在提高设备利用率、降低成本等方面,而忽视了安全问题。

  “与其他软件一样,x86虚拟化平台软件不可能没有安全漏洞。VMware、Citrix和微软等虚拟化平台软件厂商在近几年都发现了各自平台的漏洞。”戴尔大中华区大型企业事业部首席架构顾问陈进坤表示,“发现安全漏洞后,只要及时打补丁和升级,用户的主机就不会受到攻击。举例来说,ESX等系统管理程序已经通过加拿大通信安全部(CSEC)通用标准评估与认证方案(CCS)的验证,获得了EAL4+级通用标准认证。EAL4+级是《共同准则互认协定(CCRA)》认可的最高安全级别。”

  趋势科技认为,虚拟机确实存在安全漏洞。但是,用户只要及时做好针对虚拟机的补丁管理工作,就不会有太大问题。

  惠普公司认为,既然虚拟机是被打包好的文件系统,并且基于标准的平台,那么安全漏洞就是不可避免的。但是,用户如果能扬长避短,充分发挥虚拟服务器的灵活性、可靠性和共享性,那么就能获得事半功倍的效果。这也是虚拟化技术如今能够成为市场主流的重要原因。

  在记者采访的多家虚拟化软件厂商、安全厂商和服务商中,万国数据服务有限公司(GDS)副总裁张权的观点颇具代表性。他认为:“安全问题是IT 业界长期存在的一个问题。它不取决于架构是物理的还是虚拟的,平台是x86的还是Unix的,或者应用以何种形式存在。虚拟化技术的出现具有划时代的意义。它能够降低成本,节能增效,提高资源利用水平和资源配置的灵活性,提升业务连续性水平。作为一种新出现的技术,虚拟机面临着与传统物理服务器架构一样的安全问题,如网络、访问控制、数据加密、操作系统和应用等方面的问题。”

  解决虚拟机的安全性问题,不能仅依靠虚拟化软件厂商,而是需要操作系统、应用、网络、安全等厂商共同努力。IT管理者还要提高安全防范意识。

  事在人为

  Gartner的研究报告指出,虚拟机的安全性低并不是因为虚拟化技术本身不安全,而是因为缺乏相关的管理工具,应用流程不成熟,企业员工和经销商缺乏有效的培训等。

  VMware公司大中华区技术总监张振伦指出,实际上,多数的安全风险来自于实际使用的过程中,而并非虚拟化技术本身的问题。经过专门的审计和管理控制,完全可以避免虚拟机的安全风险。AstroArch咨询公司创始人Haletky认为:“与虚拟化相关的最大安全问题是,很多用户不知道自己在做什么。为了有效解决虚拟机的安全性问题,虚拟化应用管理员必须学习更多的知识。”

您可能还会对下面的文章感兴趣: