【IT专家网独家】毫无疑问,虚拟化在数据中心的快速应用有许多好处。但是,这并不意味着没有风险。有些风险与安全有关,尽管不能说虚拟化就有安全风险。不过,许多具体的风险仅在虚拟化环境中出现。
许多安全专家强烈建议重要的网络和安全设备不能部署在虚拟平台上,而要在专用的机器上运行。身份识别/目录服务和防火墙是一些重要的网络服务。尽管有专门保护虚拟化平台上的这些服务的安全解决方案,但是,最好不要冒这个不必要的风险,除非你必须要这样做。
虚拟化环境有自己的特殊性,因此,你用来保护虚拟化数据中心的安全措施也许不能同时满足虚拟化环境和非虚拟化环境的需求是毫不奇怪的。事实上,你在采用虚拟化之后是有许多东西需要学习的。如果你已经开始应用虚拟化并且没有制定安全政策,虚拟化也许会成为推动你加强数据中心安全的一个推动因素。
虚拟化的安全问题
保护一个虚拟化环境的安全也许不需要许多特殊的手段。但是,仍有一些专门在虚拟化环境中出现的安全漏洞,或者在虚拟化环境中常见的安全漏洞。虚拟化环境中的主要安全漏洞如下:
1. 管理程序是一个故障点。管理程序(或者平台)承载不同的应用程序,特别容易受到攻击,因为如果管理程序被攻破,你的全部5台服务器或者10台服务器就在一次攻击中全部崩溃。管理程序还能被劫持,从而使黑客能够控制那台机器上的全部虚拟服务器。
2. 拒绝服务攻击更容易。许多虚拟服务器在一台物理服务器上运行并且共享资源的事实意味着拒绝服务攻击会容易。除非在设计时就想到要专门对付拒绝服务攻击,否则,每一个虚拟服务器都应配置有限的安全措施以应付攻击者。如果这个攻击非常强大,无论是不是分布式的攻击,服务器被攻破的可能性都是非常高的。
3. 主机内通讯。主机内通讯是指一个物理平台中的服务器之间的通讯。这是虚拟化带来的另一个问题。
4.一台主机,多台虚拟服务器。在非虚拟化环境中,你有一台主机,就是一台服务器。你检查这个主机的安全就可以了。采用虚拟化,你需要检查主机本身的安全和所有的虚拟服务器,包括当前离线的那些虚拟服务器。如果你忘记其中一个虚拟服务器,这个主机上的所有的虚拟服务器都会有风险(当然,网络的其余部门也会有风险)。此外,当一台服务器遭到攻击时,其它服务器和主机本身也都会有风险,特别是如果这些服务器都没有设置隔离功能的话。把许多鸡蛋放在一个篮子里确实方便,但是,这个风险是不容忽视的。
5. 动态的IP地址。当你在不同的机器上部署了许多虚拟化服务器的时候,这可能会导致这些虚拟服务器使用的IP地址频繁变化。除了IP地址的冲突之外,这还能导致基于IP地址的安全检测措施失败。因此,当你使用基于IP地址的保护措施的时候,你一定要反复检查你的IP地址列表是否与实际机器的IP地址匹配。
6. 检查你使用的镜像。虚拟化把部署变成了一块蛋糕。你只需要把服务器的镜像拷贝到不同的主机上,它就部署完了。然而,你也许想不到要检查这个镜像。你也许认为这个镜像是干净的和没有安全风险的,并且勇敢地使用这个镜像。遗憾的是,这个镜像也许有巨大的安全风险,因此,一定要首先对镜像进行安全检查,然后再部署它。
虚拟化确实存在一些具体问题。这些问题在非虚拟化环境中是没有的。然而,如果你知道如何解决这些问题并且及时采取充分的措施,你就能够在没有风险的情况下享受虚拟化的好处。你需要采取的某些措施是非常明显的,你也许已经猜到了要采取什么措施。然而,有些措施不是那样明显,但是却具有同样的重要性。
