解析虚拟服务器10大安全隐患

来源： 作者： 时间：2008-07-17 Tag： 点击：

2007年，数据中心在虚拟化方面的最大问题还是“它能为企业节省多少资金与时间?” 而到2008年，这个问题将演变成“我们到底安不安全?”

　　这的确是一个棘手的问题。市场上已有许多的厂商和咨询机构都在倾力推销有风险和安全冲突预防功能的安全产品和服务。同时，某些安全研究员也在鼓吹理论上存在的风险，比如针对Hypervisor的恶意软件的兴起。Burton Group的高级分析师Chris Wolf表示“人们对虚拟化颇有微词。”

　　当2007年虚拟机开始大行其道的时候，许多IT部门皆表示他们会把运行速度作为首要考量。(不必惊讶，因为大部分企业都是从测试和应用开发箱入手来推进虚拟化实施的，而不是运行核心商业应用的服务器。)

　　“我们发现安全问题在虚拟化搭建的过程中是一个被遗忘的角落，”IDC企业系统管理软件研究总监Stephen Elliott说道。 “看看现在虚拟机的数量，的确是让人捏一把汗。” 根据IDC的调查显示，有75%规模超过1000人的企业已经开始采用虚拟化。

　　Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会上预测，到2009年，60%虚拟机的安全性将大大弱于相应的物理服务器。

　　安全专家Chris Hoff指出，目前大部分关于虚拟化安全问题的探讨都是流于表面，人们通常是拿虚拟服务器与物理服务器来比较说事。

　　Hoff表示这种思考方式有欠妥之处，在他的博客上经常有关于这类课题和服务器的文章。其实人们应该问自己“你是否已经将你所知的都运用到了虚拟化环境中?”

　　“人们对这些论调感到紧张，其实在真实环境中你还是可以采取一些措施的，”Hoff说道。当然，虚拟化确实带来不少新的安全问题，但凡事总有个缓急，他说： “我们要注重务实。我们需要像搭建物理网络架构那样去搭建虚拟网络。”

　　某些IT部门都犯了一种根本的错误：他们让服务器组单枪匹马地去进行虚拟化工作 – 而把IT团队的安全、储存和网络专家关在了门外。这将会造成与虚拟化技术或产品内在缺陷无关的安全问题。 “其实这是一次整合团队的绝佳机会，”Hoff解释道。

　　Burton Group的Wolf认为“虚拟化中有90%的工作都是靠规划，而规划必须有整个团队的参与，其中包括网络、安全和储存团队。”

　　但事实却并非如此，大部分IT团队推进虚拟化的速度太快，以至于他们自己有点跟不上。倘若你没有与专家一起规划虚拟化，那么扩展虚拟机数量并在虚拟机上运行大型应用就是一件令人担忧的事了。

　　“想要迎头赶上，你可以从利用工具或聘请专家来审查虚拟基础架构入手，”Wolf建议道。 “然后将一个大目标拆分成若干个小目标来逐步完成。” (Wolf建议采用CiRBA 和 PlateSpin的审查工具)

　　下面我们来详细看看企业打造安全虚拟化的10大步骤：

　　1. 控制虚拟机增长过快

　　Arch Coal公司的CIO Michael Abbene一语道出了虚拟机增长过快所带来的问题：创建虚拟机只要几分钟。它们的确能很好地隔离一定程度的计算工作。但你拥有的虚拟机越多，你所面临的安全风险就越高。你最好能对所有的虚拟机都保持追踪。

　　“我们会先从虚拟化简单的测试和开发箱入手，”Abbene说道。 “继而转向小型的应用服务器，然后逐步扩大。我们知道一步登天只会增加我们的风险。” 该公司目前拥有45个虚拟机，其中包括活动目录服务器和一些应用和网站服务器。

　　那么该如何控制服务器增长过快呢? 有一个方法：像创建物理服务器一样地去创建虚拟服务器或虚拟机。在Arch Coal公司，IT团队对创建新的虚拟机的审核很严格： “人们所要经过的审批流程就如同物理服务器无异，”Arch Coal的微软系统专家Tom Carter说道。

　　本着这个目的，Arch Coal的IT部门通过变革控制小组(由服务器、储存等部门的IT员工轮替组成)来批准或否决新的虚拟服务器申请。这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了。

　　VMware的 VirtualCenter 管理工具与Vizioncore的工具能帮助IT管理虚拟机的增长过快。

　　IDC的Elliott表示 “虚拟机的增长过快是一个大问题，它会导致在管理、维护和生产上的落后”。同时，如果你无法有效的控制虚拟机的数量，那些出乎意料的管理问题也会造成成本激增。

2. 将你现有的流程应用到虚拟机上

　　虚拟化最大的魅力或许就在于它的速度：你可以在几分钟内就创建一个虚拟机，并在一天之内就为你的商业部门提供新的动力。这种快速推进方式常能使人乐此不彼。但在此之前你一定要慎重，要让虚拟化成为你现有IT流程的一部分，并且将预防安全问题放在第一位，IDC的Elliott说道。你会逐渐发现更多令人头疼的管理问题。

　　“流程很重要，”他说。 “考虑虚拟化不仅要站在技术的角度，而且还要从流程出发。” “比方说，如果你是使用ITIL来引导你的IT流程，那么你要事先考虑如何将虚拟化融入到那个流程框架里，”Elliott建议说。如果你是使用其它IT最佳实践，也要考虑到融合的问题。

　　Hoff给我们举了个例子： “如果你有一个服务器强化文件(指新服务器的安全和安装标准)，你就应当在你的虚拟服务器上依样画瓢”。

　　在Arch Coal公司，Abbene的IT团队也是这么做的： “我们采用最佳实践来确保物理服务器的安全，并将此照搬到每一台虚拟机上，”Abbene说道。通过像强化操作系统，在每一台虚拟机上运行防护软件，确保补丁管理，保持虚拟箱符合同样被应用在物理服务器上的流程这样的步骤，他说。

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：安装BMR 4.7 For AIX5.2-005故障排除！
下一篇：开源日志系统log4cplus

◇apache jsp tomcat 虚拟主机在加上pure-ftp	◇squid 优化（解释篇）
◇调整centos文件打开数	◇REDHAT AS安装10g错误
◇用SystemImager克隆系统（一）	◇openssh 5.1版使用chroot sftp帐号技术
◇HPUX从入门到提高之三	◇postfix+vm-pop3+openmail 构造邮件服务器
◇SecureCRT设置	◇双机备份方案（resin集群＋冷备）
◇开启rsh服务	◇Solaris9允许root用户登录ssh
◇Solairs如何上网？	◇实战PXE启动安装Redhat AS 5 Linux
◇RHCT Lab1: Network Installation	◇RHCE Lab1: Kickstart
◇RHCE Lab1.1: Auto Installation	◇apache版本号显示的问题
◇修改tomcat端口号	◇RS/6000小型机故障的基本定位方法
◇Linux下的权限管理-ACL	◇CactiEZv9监控CentOS5.0
◇Red Hat Enterprise Linux 5.2 简明安装手册	◇StorNext 简单安装说明
◇FreeBSD7 Apache2.2 PHP5 PostgreSQL8.3 Ports安	◇关于nagios监控系统添加主机和服务脚本
◇C和C++语言学习总结	◇apache优化
◇CentOS+Nginx+PHP+Mysql(1)	◇Apache服务器限制并发连接和下载速度

91Linux!