文章来源:佚名 比特网
作为系统和数据中心的一个重要组成部分,服务器虚拟化领域正处于高速成长的阶段。但是,服务器虚拟化会给已经十分复杂的现有安全环境带来更多的漏洞。这是不是真实的情况?服务器虚拟化是否会增加公司面临的风险?如果答案是肯定的话,与获取的价值相比,付出的代价是否值得让我们选择接受服务器虚拟化?
为什么要选择服务器虚拟化?
当基于微型计算机技术的服务器开始取代大型主机,并开始成为业务信息处理系统核心的时间,微机技术的发展是远远落后于当前时代的。微软等公司为了确保用户得到预期性能同时降低系统不兼容带来的风险,给出的建议是在每台服务器上安装单独的解决方案。对于数据中心来说,这种方法尽管是有效的,但却意味着出现了数以百计的单一用途服务器。
随着服务器数量的增加,管理上的难度就变得越来越大。此外,由于硬件技术的飞速发展,加上服务器的更新换代,导致数据中心的服务器资源经常得不到充分的利用。这种情况下,服务器虚拟化技术产生就成为理所当然的事情了。
开始时,服务器虚拟化技术的发展速度并不快,感觉上就象是在公园里随意漫步。但随着时间的推移,它逐渐成为了很多服务器解决方案的核心。根据来自信息安全风险管理公司Foundstone的威廉·郝和鲁道夫·阿劳霍的观点:
最近一届[虚拟化]行业峰会吸引了超过一万人参加,并且就Java和Linux操作系统在虚拟化环境下的应用达成了一致。
服务器和桌面虚拟化已经不再仅仅是一个时髦的词语,而是成为了现实的技术,对于公司用户来说,可以作为确定的信息技术给予利用。
之所以选择虚拟化技术,是因为它可以帮助公司解决在使用服务器时出现的很多常见问题,其中包括了:
硬件分享。多台虚拟服务器可以共享来自同一硬件平台上的所有资源,从而在最大限度上提高公司投资的利用率。
避免了底层硬件在兼容性方面出现问题。虚拟服务器技术可以为使用者建立专门的虚拟服务器环境。这样的话,供应商和商业用户的应用程序和操作系统就不必担心在部署一个解决方案的时间,会由于硬件不兼容而出现各种各样的问题。
安全日志记录。虚拟化管理软件或虚拟机管理器(VMM),会记录下在客户虚拟环境下发生的破坏事件。因此,即使虚拟机中的日志被破坏或者修改,虚拟机管理器的日志依旧是安全的,不会受到影响。
通过标准镜像启用服务器。只要按照恰当的基础安全标准进行设置、安装好补丁,并对使用环境进行了配置,就可以建立一台虚拟服务器,并且公司还可以把它作为一个标准镜像保存起来。在需要恢复或者创建同一类型(举例来说电子邮件、数据库、文件和打印等方面)的其它服务器时启用。
确保运营业务可以快速恢复。如果出现硬件损坏或者虚拟服务器当机的情况,只要重建环境的存储虚拟映像就可以快速恢复业务运营。并且由于虚拟机是基于抽象的硬件无关性,所以,一台后备服务器就可以恢复不同硬件平台上的业务运营系统,而不必担心出现硬件兼容性的问题
安全测试。对于安全管理来说,为服务器和网络操作建立安全规则是相当大的一部分工作。而利用虚拟服务器对安全规则进行测试就是一种很好的方法,快速建立一台虚拟服务器,运行需要的测试,获得必须的数据后就可以直接关闭它。
虚拟化技术会带来什么样的风险?
和其它任何新技术一样,虚拟化技术也需要我们改变对信息基础设施的管理方式。作为IT经理应该了解,采用虚拟化技术的话会在三个方面带来潜在的风险,它们是:扩大的数量、网络基本要求发生变化以及进行回滚操作时会出现漏洞缺陷。
对于工程师来说,虚拟服务器可以方便地部署既是优点,也是缺点。传统服务器部署的时间需要购买或者选择现有硬件设备的闲置部分。从管理的角度来看,这样的过程很容易进行控制。但虚拟化技术改变了一切。
而今天,工程师们只要选择相关的镜象就可以创建基于任何虚拟化硬件平台的虚拟服务器。不必投入任何资金他们就可以方便的作到这一点。这就意味着,有更多服务器需要进行管理。安全分析师和审计师等工作人员需要监控的数量也大大上升了。
在配置安全和性能监控解决方案的时间,需要事前确定保证网络稳定的基本要求。但由于建立关闭用来测试基本要求所需服务器的时间,可能导致基本要求出现混乱。这包括了已经建立的基本要求,所以就可能导致监测结果不可靠之类情况出现。
最后,当利用虚拟镜象进行虚拟服务器回滚操作的时间,更新的补丁可能出现问题,服务器返回时间存在问题可能导致补丁失效。举例来说,服务器返回的时间可能是在安全补丁发布之前。
所有这三方面的风险,都是由于服务器管理模式变化引起的。调整管理方法(也就是改变管理策略和方式),是保证虚拟化安全的第一步。为了保证安全,降低风险,公司必须对管理策略进行改进。
现在,我们来了解一些常见类型的漏洞,以及它们是采用什么方法对虚拟环境进行攻击的。
包括蓝色药丸(Blue Pill)、SubVirt和Xensploit在内的概念攻击已经证明虚拟机存在独特的安全漏洞。不过,目前并没有发生过实际的攻击。此外,防恶意软件工具的供应商也都在极力提高产品性能,以便对这种类型的感染进行检测。(迈克菲提供的Total Protection虚拟化解决方案就包含了这种功能)。实际上问题的底线在哪里呢?对于虚拟化技术来说,安全的常识和信息都是有效的,关键在于设计合理控制得当。尽管技术可能是新类型的,但安全保护的基本原则并不会改变。
结 论
因此,是否值得冒险选择虚拟化技术呢?答案是肯定的。得到适当管理的虚拟化技术带来的好处远远大于任何想象或者实际的危险。具体来说,就是通过适当的管理措施可以将该技术带来的额外风险降低到最小的程度,而同时在业务连续性和投资回报率方面改善带来的好处是非常显著的。因此,选择虚拟化技术是一件非常值得的事情。