虛擬化系統的安全風險應怎樣降低？

「HTTP://www.aliyun.com/zixun/aggregation/13883.html">虛擬化技術並非天生就不安全。 然而，大多數虛擬化的工作負載其部署方式卻是不安全的。 」Gartner公司的分析師Neil MacDonald今年早些時候在一份名為《應對資料中心虛擬化專案中最常見的安全風險》的報告中這樣寫道。

虛擬化專案方面的規劃應該總是讓資訊安全團隊參與進來；但是根據Gartner的調查資料顯示，40%的虛擬化專案在安全團隊沒有參與初期架構和規劃階段的情況下就倉促上馬了。

MacDonald指出，由於虛擬機器管理程式統管在物理伺服器上運行的所有工作負載，因此某一威脅"可能導致在上面處理的所有工作負載受到危及。 "在傳統架構中，一台伺服器受到威脅只會使該伺服器上的工作負載面臨險境，而在虛擬化資料中心中情況就不是這樣了。

虛擬機器管理程式本身還加大了受攻擊面(attack surface)。 比如說，VMware正在改造自己的虛擬化架構，以便擺脫基於Linux的服務主控台，目的就是為了將受攻擊面從約2GB縮小至100MB。

儘管這改善了安全性，但是客戶在安全方面仍需要引起重視。 Gartner建議使用者應該從安全和管理的角度，將虛擬化平臺視作「你資料中心中最重要的IT平臺」。

Gartner認為，IT部門需要制定有關合併不同信任層級的工作負載的策略，並且在評估新的安全和管理工具時，「應偏愛那些涵蓋實體環境和虛擬環境，使用統一管理、策略和報告框架的工具。 」

報告還指出，IT部門必須關注在虛擬機器管理程式層安裝的任何代碼所存在的安全性漏洞，包括驅動程式、外掛程式和協力廠商工具，並且確保一切都是最新版本，並打上了補丁。

就算虛擬化層與之前的物理架構一樣安全，但使用者往往配置更多的虛擬機器意味著，你的覆蓋面更大了，「一旦你的覆蓋面擴大，面臨的安全風險就會隨之加大。 」

Turner正在關注幾款系統管理工具，比如Cfengine、Puppet Labs和Chef，目的是為了使驗證補丁、刪除過期使用者帳戶等過程實現自動化，並且確保設定檔沒有遭到篡改。

在伺服器進行虛擬化之後，即使像運行反病毒軟體這類相對簡單的任務也可能變得更複雜。 Harper指出，他的員工不得不手工修改每週掃瞄Windows Server實例的時間，因為要是不這麼做，這些掃瞄就會同時執行，從而導致輸入/輸出負載過大。

Harper表示，客戶們需要結合新的產品和流程，才能防止虛擬化帶來麻煩，因為把虛擬機器當作物理裸機那樣來管理根本行不通。

不過，Harper和Sabre公司的高級IT專家Jim Brewster對虛擬世界的安全性持樂觀態度。 Brewster表示，對安全區實行物理隔離正在讓位於基於軟體的安全區;而且有了虛擬化管理工具，胡作非為的IT管理員就很難在其操作不被日誌記錄的情況下篡改系統。

微軟和VMware為多少進程應留在作業系統中、多少進程應推向虛擬機器管理程式層爭辯不休。 但是Brewster盼望著安全功能進入到虛擬機器管理程式。

Brewster說：「我認為，到時你可以更清楚地瞭解、更有效地控制出現的情況，摸清虛擬機器裡面誰在和誰聯繫的情況。 」