從理論上來說��,虛擬環(huán)境中運行的計算處理與在同樣物理硬件上運行的其他虛擬機是隔離開來的��。每個虛擬機實例都能存儲在物理硬盤中,關(guān)機和攜帶都能保持持續(xù)性隔離和安全性���。但是在實踐過程中�,安全問題卻并不那么簡單。
Mandel解釋說��,虛擬機是由自身的系統(tǒng)來定義的����。每臺物理機中只存在一種自己的系統(tǒng),但是許多虛擬機的創(chuàng)建都是在同樣的系統(tǒng)下運行的���。
一旦虛擬機被定義完成����,它就作為自己的實例來運行��,這個實例可能有權(quán)也可能無權(quán)訪問其他虛擬機的資源����,諸如虛擬硬盤,CD/DVD光驅(qū)�����,磁帶等���。這就意味著每個虛擬機都能在同樣的物理機上與其他的虛擬機隔離開來獨立完成����。然而這種環(huán)境也可能創(chuàng)建的時候就允許虛擬機共享這些同樣的資源。
Mandel表示"在這種情況下�,一個虛擬實例會傳染共享數(shù)據(jù),繼而又影響到共享同樣資源的其他虛擬機�。自己的系統(tǒng)和這個問題是無關(guān)的,因為它擁有獨立的硬盤�,只有它自己才能訪問"。
Mandel警告說�,對一臺物理服務(wù)器上托管的多重虛擬機最普遍也最真實的影響是虛擬實例對系統(tǒng)資源的爭奪。磁盤輸入/輸出�,隨機存取存儲器和中央處理器單元都是被一臺物理機上托管的多重虛擬機過度使用的系統(tǒng)資源。
缺乏信服
并非所有追捧虛擬化技術(shù)的倡導(dǎo)者都同意虛擬化的應(yīng)用會帶來新的安全隱患這種說法�����。虛擬軟件廠商也在致力于相關(guān)工具的研發(fā)來阻止這種安全問題的產(chǎn)生�。
Untangle是專門提供開源網(wǎng)絡(luò)網(wǎng)關(guān)應(yīng)用工具的廠商,他們的首席技術(shù)官德克.莫里斯表示"我們聽說過這種擔憂�。我們認為并不存在這種真實的虛擬安全漏洞,虛擬機的風險與他的優(yōu)勢相比幾乎等同于沒有風險�����。
莫里斯還補充說,Untangle公司也對自己的數(shù)據(jù)中心部署了虛擬機�,還沒有遇到過任何麻煩����。他的公司在一種虛擬機使用了20種不同的服務(wù)器。
"它也沒有改變備份規(guī)則"莫里斯強調(diào)說"虛擬化會帶來安全問題����,但目前我們還沒有看到"。
差異的存在
不過虛擬化如果和其他計算單元混合使用就會帶來不安全因素���。通常來說��,虛擬化廠商都會鼓吹他們的產(chǎn)品不存在安全隱患����。
Secure Computing公司負責全球技術(shù)戰(zhàn)略的副總裁斯科特.蒙哥馬利表示"虛擬化并不會給安全帶來任何附件負擔�����,它在節(jié)約制冷成本等方面表現(xiàn)極為突出�����,但虛擬化并非萬能鑰匙,也無法解決我們的所有問題���。虛擬機也不會讓安全問題減少�,它只是讓它看起來與眾不同�����。VMware就曾宣稱他們的產(chǎn)品增加了安全性�����,但我沒想那么遠"����。
蒙哥馬利表示,舉例來說讓虛擬機脫機一個月��。當它重新聯(lián)機時所有的安全措施都過期了����。這是一個專門針對虛擬化的問題,你怎么為過期的證書打補丁呢����?多數(shù)廠商目前都沒有這種工具��。
其他擔憂
虛擬化安全始終是業(yè)界討論的熱點�����。正面和反面的觀點一直都在繼續(xù)。
Core Security公司的產(chǎn)品管理副總裁Fred Pinkett表示"硬性配置防火墻�����,如今虛擬機環(huán)境中的所有系統(tǒng)都在討論這個問題�。產(chǎn)品目前在虛擬化中可以加以控制。增加安全層和新分界會給虛擬機全新的安全保障"�����。
人們一般很少聽說設(shè)計虛擬機的數(shù)據(jù)泄露����,但是這并不意味著沒有這種可能。
總結(jié)
蒙哥馬利警告說���,令人緊張的是虛擬化讓物理平臺上的許多數(shù)據(jù)被遷移����。這使得虛擬化能訪問所有的平臺。在同一個位置上的數(shù)據(jù)庫和網(wǎng)絡(luò)服務(wù)器都存在潛在風險���。幾乎沒有那家廠商談到過這些問題���。
訪問服務(wù)器應(yīng)用軟件和數(shù)據(jù)變得更加容易。如果一種遭遇風險�,那么其他的也會受到牽連,這是個交叉性問題�����。
安全廠商堅持認為應(yīng)該對網(wǎng)絡(luò)上的虛擬機環(huán)境特別對待來插入隱藏的缺口��。這些解決方案可能都無法通過虛擬軟件制造商來提供����,必須有第三方廠商的介入。
Stonesoft公司的資深解決方案架構(gòu)師Kim Lassila表示"我認為讓人們了解風險對于虛擬機和物理機都是同樣存在的�,這很關(guān)鍵。如果不應(yīng)用虛擬安全解決方案��,就很難保護虛擬環(huán)境"��。
他補充說,沒有樹立正確意識的用戶會在沒有防火墻保護的情況下將物理企業(yè)網(wǎng)絡(luò)聯(lián)接到因特網(wǎng)上��。虛擬環(huán)境也同樣如此��。"虛擬平臺上的服務(wù)器����,桌面系統(tǒng)和其他工作負載和他們在物理環(huán)境中面臨的風險是一樣的。這是因為操作系統(tǒng)和應(yīng)用軟件都是一樣的"����。
黑客的誘惑
令Lassila擔憂的另外一個問題是虛擬化存在受黑客攻擊的隱患����。有關(guān)虛擬化的兩個因素涉及這個問題。
一個是某些用戶存在虛擬化平臺能創(chuàng)建安全的虛擬服務(wù)器����,桌面系統(tǒng)或網(wǎng)絡(luò)這種誤解。按照這種思維���,管理員就認為沒必要為此而擔憂���。
第二個因素是虛擬網(wǎng)絡(luò)并不實際。因此管理員不能從屋里上將網(wǎng)絡(luò)分析器連接到虛擬網(wǎng)絡(luò)上看到流量�����。
Lassila表示"這樣如果沒有針對虛擬環(huán)境而特別設(shè)計的安全解決方案的幫助,要想實現(xiàn)對虛擬網(wǎng)絡(luò)流量的監(jiān)控�����,監(jiān)管和控制就變得非常困難"�。
