安全仍是服务器虚拟化发展的最大阻力

　　Gartner的安全和基础设施安全分析师Neil MacDonald说，并不是虚拟服务机没有物理服务器安全。虚拟机在许多方面比单独的服务器更安全，因为虚拟机隔离性更好并且依靠一个主机服务器。许多虚拟机放在一台物理服务器上的物理安全问题比每个虚拟机分别放在单独的硬件上更简单。

　　MacDonald称，这些虚拟服务器中的每一个虚拟机仍是一个单独的服务器。每一个虚拟机都有自己的操作系统和配置。这个设置也许是、也许不是根据母公司规定的标准设置的。每一个虚拟机必须要像非虚拟机一样使用补丁和维护以便及时修复潜在的安全漏洞。但是，这样做会更复杂。

　　据位于科罗拉多州Loveland的信贷报告和金融服务机构Kroll Factual Data的主要技术设计师Chris Steffen说，从理论说，攻击者有可能专门攻击管理程序层，或者控制一个虚拟机并利用它攻击其它的虚拟机。然而，这种事情在自然环境中还从来没有发生过。因此，这个威胁暂时还是理论上的。

　　Steffen说，你可能还会遇到专门攻击你的服务器中BIOS芯片的病毒。但是，我们还没有看到太多的BIOS病毒。

　　Steffen和MacDonald都认为，虚拟机的最大问题是IT或者安全经理因为不能在出现风险的时候及时发现风险而失去对虚拟机的控制。

　　美国国家安全局不仅从内心担心这个问题，而且还把这个问题带到了软件开发实验室，提出了一个名为“NetTop”的虚拟化服务器管理方案。这个方案要求虚拟服务器的配置要防止在同一台服务器上运行的虚拟机相互干扰。但是，它没有解决所有的潜在的配置问题。不过，这个方案确实把一个具体技术层中的所有的安全流程和开发流程都集中在了一起。

　　MacDonald说，大多数公司不需要这种层次的保护。这种层次的保护是为那些在海外服役的特种部队设计的。但是，大多数企业确实有许多紧迫的安全问题，有些问题他们还没有认识到，或者不完全理解。那是一个根本的问题。

　　下面是目前人们最担心的服务器虚拟化的五大安全问题：

　　1.管理失败和责任

　　MacDonald说，虚拟服务器的主要问题是责任。与物理服务器不同，物理服务器是数据中心或者IT经理直接负责的，而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗？IT经理应该更接近物理主机吗？一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗？

　　MacDonald说，人们不理解这个问题：当你增加虚拟服务器的时候，除了应用程序、操作系统和硬件之外，你又增加了另一层技术。你必须要保证它的安全。

　　2.补丁与管理

　　缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同，物理服务器是由IT经理推出和配置的，IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。

　　MacDonald说，大多数企业都保持少量的通用的“黄金”镜像，从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是，在经过辛苦的设置支持具体的应用程序或者业务需求之后，大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。

　　MacDonald说，你可以对虚拟机拍一个快照，把这个虚拟机写入硬盘，这样，你下一次就不用创建同样的虚拟机，并且可以利用这个虚拟机进行灾难恢复。在需要时，就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是，大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是，有些人经常不检查，通常也没有进行检查的方法。

　　微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中，以便定期地发布，这样它们就能够使用补丁。

　　然而，对于拥有数百个虚拟机镜像的库的企业来说，这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题，或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然，VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。