保护您的虚拟环境

虚拟化有望使IT部门更灵活,更高效,并且在当前困难时期最关键的是节俭。但是这项技术没有的一项优势 '提供避免了对强大安全措施的需求。

虚拟化 承诺使IT部门更灵活,更高效,并且在当前困难时期最关键的是节俭。但是该技术无法提供的一个优势是可以避免对 强有力的安全措施.

他一开始计划自己的Novell 虚拟化项目,Noah Broadwater意识到他正在考虑一项计划,该计划既需要继续现有的安全实践,又需要对新技术可能造成的任何危险进行分析。

“很明显, 虚拟化需要仔细研究”总部位于纽约的儿童媒体制作人芝麻工作室(Sesame Workshop)信息服务副总裁布罗德沃特(Broadwater)说,“首先,我们必须确保我们在各个方面都保持安全。”

Gartner Inc.的分析师Neil MacDonald说,虚拟化为IT部门以及试图篡改关键数据和服务的人们打开了新的大门。

他说:“采用者可以期望虚拟化软件(例如虚拟机管理程序软件)将成为攻击目标。” “因此, 虚拟化安全计划 应该在项目开始时就解决。”

崩溃与学习

如今的IT部门 经济崩溃 被要求事半功倍的事实,虚拟化的诱惑变得越来越难以抗拒。但是,随着一些部门全力以赴,竭尽全力寻求稀缺的资金,诱惑逐渐浮现。 忽视安全.

许多节俭管理者认为,当前用于保护常规物理服务器的相同技术可以简单地扩展到虚拟化环境。但是麦克唐纳说,这是一个潜在的灾难性假设。他指出,粗心大意可能会被多个领域的威胁所困,包括软件,管理,移动性,操作系统和网络可见性(请参见下面的“虚拟化的软点”)。他补充说:“需要制定政策来解决这些问题。”

Broadwater采取了一些常识性的防御步骤,例如使用防火墙控制来限制用户访问权限以及在每台虚拟服务器上运行完整的安全协议和检查。另外,Broadwater说他依靠他 虚拟化 软件供应商Novell Inc.,以提供可抵御入侵​​和攻击的产品。他说,他担心“虚拟化软件本身存在漏洞-内核攻击,有人攻击主机模块或我的一个人对主机服务器犯了错误-然后确保完整的虚拟化软件确实安全并且能够修补。”

Broadwater说,他有信心自己的供应商会跟上虚拟化威胁的发展。

他认为,除了技术驱动的措施之外,对于企业而言,将虚拟环境的详细信息保留在自己的背心附近以防止不必要的关注也很有帮助。 Broadwater说:“在很多情况下,我们甚至没有告诉人们他们正在虚拟盒子上运行,或者实际上他们正在访问虚拟盒子。”

位于马萨诸塞州沃尔瑟姆的商业外包和培训公司Lionbridge Technologies Inc.的公司IT副总裁Oyvind Kaldestad说,他最关心的是恶意软件感染正在进入其客户企业基于Microsoft的虚拟环境。

他说:“我真的担心主机或父分区能够访问子分区并引起病毒或其他类型的感染,这将是一个糟糕的情况。”

Kaldestad还担心使用虚拟化彼此交谈的子分区,以及 传播感染。但是,像Broadwater一样,他有信心自己的供应商可以解决这个问题。

阿肯色科技大学学术计算和技术主管史蒂夫·米利根(Steve Milligan)表示,组件隔离对于保护他的VMware驱动的产品至关重要 虚拟桌面环境.

他说:“我们将虚拟桌面与生产服务器分开,并尽可能将开发服务器与生产服务器分开。” “我最大的担忧之一是主机或VM遭到破坏,并允许有害访问我们环境中的其他系统。”

Milligan承认,他在设计虚拟化环境时低估了安全挑战。他说:“安全不是最重要的。” “我们并没有考虑设计与物理环境不同的虚拟环境。那是一个错误,我们已经从中学到了东西。”

像许多其他管理虚拟化环境的人一样,Milligan希望供应商提供更多更好的可见性工具。他说:“那是未知数,不知道您的虚拟环境中正在发生什么。” “不仅是从外部与您的服务器进行通信的内容,而且还包括这些虚拟服务器与台式机之间内部发生的事情。”

虽然 保护虚拟环境 需要新的见识和实践,传统的安全性仍然发挥着作用。与许多经验丰富的采用者一样,Broadwater说虚拟化安全性始于主机。

他说:“这是一般的安全措施。” “确保您的安全补丁程序是最新的,并且具有正确的防病毒[工具],它们位于适当的防火墙后面。”

为了进一步确保其虚拟部署尽可能地安全,Broadwater定期求助于一家外部安全公司,以调查环境中是否存在漏洞。 “我们通常会雇用一家公司来做 安全渗透测试 他说,“每年一次。通过渗透测试,我们会检查漏洞,然后再回到供应商手中,询问他们如何帮助我们解决这些问题。”

Kaldestad表示,潜在的虚拟化采用者可以通过仔细检查每个提供商的虚拟化体系结构,来了解厂商如何处理和管理安全性。

他建议:“尝试找出可能使用哪种类型的攻击媒介。” “通过研究事物的结构,您可以找到很多有关潜在漏洞的信息。”

现实检查

并非所有的IT经理都在虚拟化安全方面失去了睡眠。一些人认为这个问题正在被炒作。他们说,批评者忽视了大多数漏洞都是可以解决的事实,而且许多采用者只是通过整合低优先级和低风险的任务而使用虚拟化来节省资金。

美国最大的非裔美国人无线电网络的在线部门Interactive One的技术运营副总裁Nicholas Tang表示,他认为,只要不将关键数据发送到虚拟化环境中,虚拟化就不需要特殊的安全性保护。

Tang表示:“我们将[虚拟服务器]视为标准服务器,并采取标准的良好实践措施,但没有针对虚拟环境的特定措施。“使用Oracle VM技术整合轻负载服务器(例如从DNS和实用程序服务器)的Tang说道。

但是,科罗拉多州博尔德市的一家技术研究公司Enterprise Management Associates Inc.的安全和风险管理研究主管Scott Crawford警告说,不要陷入一种虚假的安全感,这一点仍然很重要,因为没有企业愿意邀请一家攻击或入侵,即使虚拟化的任务相对较小。他说:“没有人愿意成为受害者,而必须清理一团糟。”

Milligan同意。他说:“虚拟化是一项非常令人兴奋的技术,它为IT经理提供了一种更好的方式来管理其某些系统。” “但是不要对好处感到太兴奋,而要超越安全性。这可能很危险。”

Edwardsis是亚利桑那州吉尔伯特的自由作家。请通过以下网址与他联系[email protected].

这个故事“保护您的虚拟化环境”最初是由 电脑世界.

版权© 2009 IDG通讯,Inc.