外電頭條：使用虛擬化最常見的安全問題

【51CTO.com快譯】多年來，人們對虛擬化環境的安全性一直很擔心。許多人錯誤的認為，僅僅因為環境是虛擬化的，那麼理所當然也就不會那麼牢靠。實際情況並非如此。虛擬環境和實體環境大體上是一樣的，都會遭受相同的安全問題的困擾。

與此同時，也有來自不同陣營的觀點認為，虛擬化環境的出現大幅度提高了安全性，甚至從根本上改變了安全性的理念。事實當然也並非如此。

虛擬化確實帶來了變化，新增的hypervisor層（相關知識可參見“伺服器虛擬化之三大技術完全破析”）也帶來了新的安全問題，但都並不是什麼翻天覆地的變化。就像在一個環境中添加任何新的組件一樣——架構師和系統工程師們需要正確教育自己，學習新的組件，然後在實施時做出徹底的規劃。——事實上，51CTO.com也一直在介紹這方面的情況，並推出了“打造安全的虛擬化環境”技術專題。

為了瞭解更多有關虛擬化的安全問題，我找到了一個知名而且健談的安全專家，Edward L. Haletky，他是AstroArch諮詢公司的總裁，一位DABCC分析師，還是VMware的社區專家，而且出版過許多部作品。以下是我們的對話摘錄：

記者：在安裝VMware VI3時，最常見的安全性錯誤是什嗎？

Edward Haletky：那就是使用單層虛擬網路（flat virtual network），因為這不能解決安全區域之間的差異問題。

記者：即將到來的VMware vSphere 4（51CTO.com編者注，VMware vSphere 4在4月下旬剛剛發布，VMware宣稱這是業內首個雲作業系統。）能夠有效解決安全問題嗎，特別是那些VMware VI3沒能解決的問題？

Haletky：會有一些。VMsafe將使安全工具更加有效。然而，雖然不能說全部的功能改進，但大多數的功能改進都會增加受攻擊的表面積。

記者：那麼你怎麼看待新的VMsafe API？它會給我們帶來什麼樣的變化呢？

Haletky：VMsafe將從根本上改變虛擬化的安全性，現在你可以通過它來建造工具，可以從中看到完整的虛擬機器主機。比如，原先管理虛擬網路時每三個虛擬交換器就需要一個代理，現在則變成每台VMware ESX/ESXi主機需要一個代理。然而，使用VMsafe應用也會增加攻擊表面積，因為你需要把運行代理的虛擬設備包括進來。因此，在虛擬機器上使用單層虛擬網路是絕對不應該再繼續的了。

記者：關於Catbird等第三方解決方案，你的看法是什嗎？還有VMware收購Blue Lane Technologies後將為我們帶來什麼呢？

Haletky：我認為所有這些第三方工具比如Catbird的V-Security和Reflex System的vTrust等等將會與VMware的vShield Zones有一番激烈的競爭。它們在很多方面做的差不多，Zones整合得更好一些，但這兩個第三方工具目前提供的功能要遠遠超過Zones。[此前51CTO.com曾經報道，VMware將向其VDC-OS平台中增加vShield Zones安全服務，讓企業使用者可以在他們自己的資料中心內建立所謂的“內部”雲環境。這與傳統IT基礎架構中的隔離區有些類似，只不是這是基於虛擬機器而不是物理裝置的。]

記者：VMware的ESXi似乎更安全，因為它的“腳印（footprint）”比較小。這是真的嗎，還是ESXi會和VI3有同樣多的安全問題？另外安全問題的類型一樣嗎？人們似乎還是對ESXi更放心一些？

Haletky：我認為VMware ESXi和ESX碰到的安全問題是一樣的。虛擬化的安全性方案不應僅僅是讓虛擬機器主機變得更強壯而已。即便如此，許多人還是錯誤的認為VMware ESXi更安全些。另外大多數人把ESXi當作一個裝置，他們只是按照VMware的推薦來做一兩件事以提高安全性，但並不理會它的管理或訪問方式。此外，我相信，大多數人都會啟用ESXi的SSH功能。當他們這樣做的時候，實際上丟失了真正的安全性，因為ESXi內部並沒有深度防禦。

記者：你能否告訴我們，你所認為的與VMware有關的最重要的兩個或三個安全問題，而且是人們可能不知道的？

Haletky：第一個問題我剛才說過，就是使用單層虛擬網路，而不是尋求更強大的保護措施。而這在使用VMsafe vApps時是十分必要的。

另一個情況是許多人錯誤的把自己的ESX主機服務控制台和管理工具放在了防火牆的不同的兩邊。如果這樣做的話，實際上就已經開放了許多不必要的連接埠。正確的做法是，他們應該把ESX管理主控台和vCenter工具放在防火牆的同一側，並且限制只有一個協議可以訪問，比如加密的RDP協議。管理員應該以這種方式來訪問虛擬機器和管理工具。

最後一個較常見的安全問題是不使用網路/虛擬機器主機（network/virtualization host）的部署方式，這種安排可以阻止零日攻擊。錯誤的做法是直接部署到生產環境，這樣的話如果操作出錯，或者刪除了虛擬機器，還是會有東西遺留在硬碟上。

記者：你認為VMware的hypervisor與競爭者如Xen和Hyper-V相比，它的安全性是更高還是更低，或者差不多？

Haletky：這是一個很難回答的問題。hypervisor可能會更安全，但更關鍵是它周圍的東西是不是更安全。和VI3相比，由於納入了VMsafe和VMDirectPath，VMware vSphere 4的攻擊表面積也會變大。然而對於Xen和Hyper-V來說，它們也具有不同的攻擊表面積，彼此類似但是彼此不同。所以說hypervisor並不是最關鍵的，關鍵在於那些直接或間接的接觸到虛擬機器主機的東西。

記者：我們知道你有一本有關虛擬化的書很快就會出版。你要說些什麼事情，書的重點是什嗎？

Haletky：書的名字叫做“VMware vSphere和虛擬底層架構的安全性：確保ESX和虛擬環境的安全”，內容就是關於所有這些直接或間接接觸的虛擬機器主機的東西，還有構成虛擬環境的這些組件。是的，書中會講到怎樣讓ESX和ESXi變得更強壯，但不止這些，還會涉及到儲存、運算、管理、VDI、forensic等方面。這些方面在以前經常被排除在虛擬化管理的範圍之外，但現在安全性的視角已經擴大，所有這些方面都應該包括進來，因為它們肯定會影響到虛擬機器主機的安全性。

【51CTO.com譯稿，非經授權請勿轉載。合作網站轉載請註明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：Top security concerns in a virtualization environment  作者：David Marshall

【編輯精選】

1. 專題：如何打造安全的虛擬環境
2. 觀點：迄今為止虛擬化安全領域一片空白
3. 五措施堵住虛擬化安全性漏洞