安全減緩伺服器虛擬化發展

去年的時候，美國斯坦福醫院將一般性的應用程式從傳統的伺服器平臺轉移到Vmware虛擬機器器上，併發現在安全方面有明顯的不足。 該醫院的資訊安全人員Mike Mucha表示，「我們改變了IT基礎設施的性質，然而虛擬化的影響還存在不確定性。 虛擬器開始演變為伺服器元件的衍生物，主要由伺服器組來控制，但是虛擬化的交換方面意味著傳統網路本身被改變了。 」在虛擬化世界裡，已經開始出現了一些安全問題，諸如在何處部署入侵偵測和管理系統或者防火牆等。 虛擬機器在安裝和卸載VM方面有著非常快的速度，但是這種速度也可能帶來另一方面的影響。 Mucha認為，應該為Vmware的ESX伺服器和管理主控台添加另一層安全控制來加強安全性，主要通過從啟動HyTrust來插入政策執行應用設備來實現。 HyTrust控制設備對管理員和使用者決策進行控制，並且能夠增加針對虛擬機器入侵偵測的功能。 Mucha表示，在涉及到虛擬化時，出現的相關的安全風險已經得到相應解決，特別是當思科、Juniper和其他傳統交換器廠商推出更先進的虛擬化交換技術的情況下。 其他安全專家也警告說，虛擬化確實將帶來新的風險，但是大家應該正確看待這些風險，尤其是那些歸屬於監管部門的企業，如支付卡行業資料安全標準，任何涉及處理支付卡業務的企業都需要遵守該標準。 對於那些對虛擬化完全沒有經驗的人來說，「如果你已經做了選擇，我強烈建議你不要為任何需要接受合規的專案部署虛擬化技術，」IBM公司的互聯網安全系統部的主要安全性原則師Joshua Corman在近日召開的Interop會議上表示。 Joshua表示，虛擬化帶來新的攻擊面、業務以及供應風險和複雜的功能(如線上遷移等)，線上遷移功能能夠將虛擬機器從一台物理伺服器轉移到另一個伺服器，這也帶來新的攻擊可能性， 資料中心管理人員可能會擔心他們的虛擬機器被轉移到欠安全的伺服器上。 對於生產環境中虛擬化技術的使用，Corman強烈推薦Type 1虛擬：直接在硬體上運行的虛擬裸機，Type 2託管虛擬：通常用於測試和開發環境。 他還指出，PCI DSS讓問題更加複雜化了，因為該標準建議每隔伺服器只能有一個主要智慧，這可能是意味著伺服器根本不應該被虛擬化，這樣才能符合PCI DSS標準。 認識到這件事情的不確定性，PCI安全標準委員會計畫在今年年底將為虛擬化和支付卡處理過程增加新的規定。 在合規行業的安全管理人員都以非常警惕的態度對待虛擬化技術。 金融服務公司Barclays銀行的安全架構和標準主管Lynn Terwoerds表示，在當前的經濟局勢下，企業們都在想盡辦法節省開支，這也是很多企業選擇虛擬化技術的原因，但是如果虛擬化可能帶來高風險和安全問題， 這些節省下來的開支就可能導致更大的損失。 Terwoerds在上個月舉行的RSA會議的專題小組討論會上表示，「對於虛擬化安全問題，我還很擔心。 」最近Barclay銀行正在研究部署虛擬化技術的影響，在銀行技術決策中發揮作用的風險和審計人員一直在問，「虛擬化部署將帶來怎樣的新風險，你能夠以任何方式降低這種風險嗎?」 Terwoerds表示，能夠確定這些問題的資料是很難在銀行環境得出來的，因為銀行必須符合很多涉及資料保留的條例以及SOX法案的條例，根本沒有空閒來統計這些資料。 我們還想要明確界定客戶的資料存放的位置，PCI標準規定就像給虛擬化部署「潑了一桶冷水」。 雖然，今天國內虛擬化應用尚未完全大規模普及，但是虛擬化的更大的問題並不僅僅是需要被大家理解的技術問題，而是如何管理供應商和合同問題，尤其是受到監管部門監管的情況下。 詳細，隨著IT業務的快速發展，以及節能降耗呼聲的增加，虛擬化技術在國內所面臨的問題將越來越多。