虚拟化应用的安全盲点 网络流量控制

　　随着企业通过部署虚拟化成功的缩减了采购和维护物理服务器的成本，虚拟化的应用日益成为企业关注的宠儿，但这是否会为系统埋下易受攻击的隐患呢？很有可能。企业虚拟化的努力不只是简单的对服务器和应用软件进行整合来减少数据中心物理机的数量，还要对可能面临的风险予以足够的重视。这种风险不仅存在于管理程序或者虚拟化软件本身，而且还会对传统网络和安全控制产生影响。

缺少关注的软肋

　　虚拟化软件即管理程序与其他类型的应用程序是不同的，它有着自身的缺陷和安全漏洞。管理程序的这种风险就是所谓的"hyperjacking"，一旦入侵得逞就会危及管理程序的安全，入侵者就会肆无忌惮的访问物理服务器上的所有虚拟机。这是非常危险的，因为一台主机上可能运行着大量的虚拟机。

　　危及主机的连带后果将是非常可怕的，通常大家都认为管理程序的隐患是安全专家担心的问题。"虚拟化安全与管理程序的安全无关"Nemertes研究公司的分析师Andreas Antonopoulos表示。"事实上我们正在从根本上改变服务器的IT体系架构，运营模式，系统配置的运转周期和管理方法，这些努力都会为服务器营造出比管理程序本身更加安全的应用环境"。

　　与虚拟化的灵活性相伴而来的就是它的安全盲点--对网络流量的忽视。"虚拟机间的网络流量过于密集，传统的安全工具无法对流量进行分析"金融网络通信公司BTRadianz的前任首席信息安全官兼独立IT安全顾问Lloyd Hession表示。

　　随着企业逐步将关键任务应用软件迁移至虚拟机来减少物理主机的数量，对虚拟网络流量的忽视带来的麻烦也日渐凸显。越来越多的公司在数据中心中管理的虚拟机数量也开始日益膨胀。这些服务器都在运行关键任务应用软件。IDC预测到2011年，企业在虚拟化服务上的投资将逼近117亿美元，比2006年激增了55亿美元。

来自用户的烦恼

　　举例来说，卫生保健行业的软件服务供应商Quantros公司主要向医院和卫生保健部门提供随需软件来帮助他们管理病人的安全状况跟踪，监护和资格鉴定。去年，公司开始着手调研是否应该对日趋老化的网络系统进行修整。"我们的网络在不断扩容，如今它已经成为新增物理服务器时的成本瓶颈"Quantros公司网络数据中心服务总监Bryan Rood表示。

　　为了节约网络扩容时的成本，Quantros公司采用VMware的ESX服务器虚拟化平台来对公司大量网页和服务器进行虚拟化部署。"这对于我们的基础架构是个理想的方案，对这些系统实施虚拟化的商业需求也很旺盛"Rood表示。

　　随着虚拟化部署取得初步的成果，更多的虚拟化解决方案开始出台，包括用于质量保证的虚拟化系统。目前整个服务器系统由55台物理机和40台虚拟机组成的Quantros公司的也面临着安全挑战。首先，传统的网络防入侵系统无法保护一台主机上的多重虚拟机免受彼此的攻击。维护和补丁程序的升级难度也在增大。Rood就需要一种方法来确保每台虚拟系统能得到公司严格的安全和补丁流程的保护。

　　Quantros公司使用的是Blue Lane科技公司的ServerShield安全工具，这款产品不仅能有效的识别和保护Quantros的物理机，而且也能为这些服务器上运行的所有远程虚拟机提供保护，Rood表示。Blue Lane科技公司采用虚拟补丁代理服务器改进了自己的技术为虚拟化环境提供更好的保护。去年，这家厂商推出了它的专门针对虚拟机到虚拟机流量分析和执行的VirtualShield。

　　企业在部署虚拟化之时需要对这种类型的安全挑战做好准备。"多数公司在开始实施时，可以先对系统测试试运行。他们会发现这样做能节省开支，商业运作也更具灵活性"思杰系统公司首席安全战略顾问Kurt Roemer表示。"但是他们不会去询问虚拟化会如何改变他们现有的网络基础架构。传统的控制方法目前并不实用"。

　　"安全和审计团队更关心这些虚拟化环境如何行使和实现服务品质协议（SLA）下同等的安全性，实用性和延迟"优利系统公司安全创新首席工程师克里斯.霍夫表示。