虚拟化环境可能更便宜、拥有更低的碳排放量、快速创建“虚拟机”,但是没有实实在在的边缘,因而很难确保其安全。
Softtek是拉美地区主要的IT服务提供商之一,也是全球近岸行业的开创者。该公司的项目经理兼业务主管Leo Navarro说:“在过去的几个月,我们与《财富》50强企业的首席信息安全官进行了多次交谈;我们注意到,他们对于虚拟化环境安全的工具需求有所增加。现在有好多企业已经部署了服务器虚拟化和桌面虚拟化的解决方案。不过,一旦这么做,它们就得为虚拟化环境重新考虑整体安全策略。”
Navarro预测,2012年会出现这一幕:许多公司的资金将投入到简化更新过程的企业级反病毒套件、监控数据流动的数据丢失预防(DLP)工具、保护对虚拟服务器和虚拟桌面访问的双因子验证机制、加快用户资源配置过程的工具以及数据加密工具。
跨国IT公司Unisys的TCIS产品与技术事业部副总裁Rod Sapp说:“许多分析师表示,安全是用户采用云计算的第一大障碍,安全问题削弱了云计算的优点。在共享基础架构的多层环境中,许多公司经常在一个角落建立私有云,那样它们不会面临风险。但迫使云计算项目后退到数据中心某一角落带来了问题,那就是你削弱了云计算的根本优点,即提高基础架构的利用率和成本效益。”
评估需要做什么工作
GFI软件公司的安全研究经理Emmanuel Carabott说:“虚拟化环境中的安全可以分为两大类:访客操作系统的安全,这需要采取与非虚拟机环境同样的安全方法;另一个是虚拟环境基础架构的安全。虚拟化解决方案包含几款可以管理主机和访客的管理工具;针对这每一种管理工具,都需要考虑特定的安全问题。”
公司首先得明确自己面临的风险有多大。
Carabott补充说:“从虚拟化的角度来看,几个主要的安全问题是,个人在未经授权的情况下访问虚拟环境管理工具,劫持虚拟机及/或随意进出虚拟机,以及破坏企业中所用的变更管理系统。这每一个安全问题都需要从防火墙到安全扫描器的专业解决方案。”
企业引入了削减成本的措施,加上旨在采用更灵活的工作策略,这就更需要确保虚拟化环境的安全。Navarro说:“更多的公司可能会考虑实施‘带来自己的设备’(BYOD)计划,那样他们的员工可以自行选择工作时所用的设备。这些计划要求公司支持各种设备正常运营,为此先要确保自己的虚拟环境安全,然后要将核心应用程序扩展到移动设备上。”
虚拟机带来的挑战
无论贵公司是不是允许员工将自己的设备连接到企业网络,网络专业人员都必须提防确保虚拟环境安全所带来的挑战。Carabott说:“从理论上来说,为虚拟化环境确保安全与为物理环境确保安全一样轻松。不过实际上,情况并非总是如此,因为虚拟化环境很容易创建;员工在自己的机器上建立虚拟化环境,而不是要求额外的物理机或者通过适当的渠道来申请,这种事并非前所未闻。”
这让网络管理员们颇有头痛。要是虚拟环境没有集中控制起来,那么连最基本的安全措施落实到位都无法保证。
Carabott补充说:“如果某个员工不关注安全,以为即使虚拟机受到了危及或出现了崩溃,也只要恢复干净的副本就行,情况就会变得更糟糕。遗憾的是,这种想法是有问题的,因为这个员工没有认识到,如果虚拟机受到了危及,它就有可能成为不法分子手里的一块跳板,得以更深入地攻击企业的基础架构。”
安全实践
尽管面临挑战,但确保虚拟化环境安全是可以做到的。
Sapp说:“在优利系统公司,我们使用Unisys保密解决方案,在安全的多租户环境中,对从端点到数据中心的信息进行加密和裂位(bit-splitting)。这就排除了别人访问你的基础架构和数据这种可能性。”
优利系统公司在政府行业证实了这项技术后,刚开始投入到商业行业。Sapp认为,现在公司企业可以采取更多的措施来确保虚拟化环境安全、对用户友好。“我们正在将很高的安全级别与针对虚拟化环境和云计算的资源配置和自动化工具集成起来。”
不管确保虚拟化环境安全似乎有多困难,但是最糟糕的做法是什么都不做。每个环境都需要加强安全,无论它是不是虚拟化环境。说白了,关键就是为你网络面临的风险寻求合适的安全级别以及合适的工具。