热点推荐
ZOL首页 > 服务器 > 争鸣:x86虚拟化有两大罩门待解决

争鸣:x86虚拟化有两大罩门待解决


CBSi中国·ZOL 作者:许振新 【编译】 2009年05月31日 05:11 评论

    本周在拉斯维加斯举行的一个国际会议上,IBM安全专家Joshua Corman告诫业界,如果员工和业务流程没有准备好的话,用x86虚拟化承担企业的关键应用不但不会带来好处,反而会带来很大的安全风险。

    Corman还告诉参加该虚拟化大会的与会者,除了管理和控制虚拟机带来安全威胁外,虚拟化还很难满足严格的法规遵从要求,比如支付卡行业数据安全标准(PCI DSS).

    Corman建议,对于企业而言,如果刚开始使用虚拟化技术,最好的方式是从小规模的系统开始,等熟悉了虚拟化的应用后才逐渐将关键任务运行到虚拟化环境中。

    虚拟化的应用带来了新的攻击面、业务和供应风险,并增加功能的复杂度,比如在线迁移等。这也许不是Vmware等虚拟化厂商想听到的消息。Vmware通过提供Vmsafe来解决虚拟化安全问题。这是一套通过虚拟机程序来给合作伙伴更多直接控制权限的应用程序接口,以使得这些伙伴开发更加安全的产品

    Corman认为,Vmware通过剥离数百万行代码,而只留下一个20万行代码、32M大小的软件包作为管理工具,大大降低了受攻击的几率。“虚拟机的一个设计原则就是精简,Vmware这样做让人难以置信,这差不多是一个裸程序了。” Corman说。

    但是这也意味着,虚拟机的任务不包括加密等功能,Corman说。这使得像Xensploit这样的人工攻击成为可能,Xensploit能在物理服务器间进行虚拟机迁移时截取其中的加密数据。

    将虚拟机从一台物理服务器迁移到另一台的在线迁移功能也造成了新攻击的可能,Corman说。你的虚拟机是不是转移到了一台不太安全的服务器上?这是数据中心管理人员必须问的一个问题。

    PCI DSS的规定也给业务流程带来了麻烦。该条例说每个服务器只能有一个主要功能,Corman说。如果遵从这个条款,那意味着服务器不应该进行虚拟化,或者说应用程序不应混合用数据库。总的看来,Corman认为PCI DSS条例从实际应用角度分散了IT的风险。

    “我们如此严格遵守规定和管制措施,以至于我们已经放弃了风险管理。”Corman说。“大多数情况下,人们往往拥有一个遵从PCI标准的数据中心,然后开始尝试进行虚拟化,后来他们失败了。”

    默认情况下,虚拟化会降低你的安全状态,Corman说。为此,他提出了几项建议:不要轻易使用Type 2、托管、虚拟化应用。Type 2虚拟机是典型的免费产品,只能用于测试和开发软件用。只有Type 1,作为一个单纯的虚拟机直接运行在硬件上,可以用来作为业务系统平台。

    安全工具应安装在每个虚拟机客户端。IT专业人员还必须时刻打应用补丁。用户假如有一台虚拟机每年只需要运行2个月,其它10个月可以是离线的,如果再次打开时没有被更新,那就会带来更多的风险。“像其它的蠕虫病毒一般服务器能不受感染,但是Conficker这种蠕虫让服务器也不能幸免于难。”Corman说。

    Corman表示,生产应用程序不应该把测试和开发程序都放在同一台物理服务器上,应用程序会根据其重要程度有不同的安全要求。“我们不得不担心孤立和隔离。”Corman说。

    Corman强调,用户无需过分担心那些众所周知的漏洞,如Blue Pill。Corman认为,其实还有许多没有受到媒体关注的威胁才是真正的安全威胁。一些新兴的企业开始着手解决虚拟化中的安全问题,但大多数只注重比较狭隘的一部分攻击面。“如果你认为只要购买了这些东西,并将它整合到你的虚拟环境中工作,你的系统就安全了,那你将会非常失望。”Corman说。

 

查看本文作者 许振新 的其他文章>>
相关搜索:IBM 服务器 虚拟化 
给文章打分 5分为满分(共0人参与) 查看排行>>
频道热词:LED照明  工作站  云计算  
视觉焦点
TOP10周热门服务器排行榜
  • 热门
  • 新品
  • 系列
查看完整榜单>>