Vmware的Vmsafe真的能全面保护你的数据中心吗

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　回到多年前，当我们还必须在每台服务器上编写各自的应用程序时，我们都会羡慕(或者嫉妒)恶意软件能够自动传播到整个数据中心的每台服务器上。

　　现在，我们都进入了虚拟化时代(或者现实一点，至少我们都在准备进入虚拟化时代)，对于主机托管公司或者大型企业来说，恶意软件构成的威胁也更大了。如果在短时间内在主机中安装VM有点困难，那么我敢打赌，随便某个恶意软件都能在短时间内感染机房内的全部主机，起码经过专门设计的恶意软件能够做到这一点，因为在恶意软件背后隐藏着巨大的商业利益。而这种状况导致的最大问题就是会引发严重的拒绝服务攻击。

　　这就是为什么 Vmware将VMsafe APIs 集成到最新版数据中心操作系统vSphere 4.0的原因。

　　之所以这么做是为了让安全软件厂商所开发的新产品能够检测和删除试图注入系统管理程序的恶意软件。趋势科技最近就发布了这样一款名为 Core Protection for Virtual Machines的安全软件，宣称“利用Vmware的VMsafe API接口使用专用的虚拟机扫描以及虚拟机内的实时代理，实现针对虚拟机的多层保护”。

　　我没有亲自测试过这款安全软件，因此也不能断言它有怎么样的运行效果，但是它体现出了未来一段时间内其它软件厂商推出的同类安全产品的大部分功能特性。

　　但是这就足够了么?

　　趋势并不是唯一的一家推出基于Vmsafe的杀毒软件的厂商，而这类软件是一个很好的概念。不过根据对于Vmware有长期深入研究的Alessandro Perilli来说，基于Vmsafe的安全软件也并不是万能的。

　　公司的技术专家 Richard Garsthagen表示：“VMsafe API本身确实可以禁止虚拟机中的文件被修改或删除，但是Vmware还提供了其它一些API来实现文件的修改和删除，以便厂商实现完善的解决方案。而最终还是要看安全软件厂商如何制定方案，实现他们的安全产品。”

　　趋势科技解决方案架构部门的Rik Ferguson表示，他们确实深入研究过虚拟机，“趋势的产品提供了针对虚拟机的全面扫描，和管理功能” 。

　　关键在于， Vmsafe本身并不能在虚拟机内部提供保护功能，而只能防止外来的入侵。 Gartshagen 重申：“VMsafe API可以让厂商通过阻止运行以及过滤网络数据流等方式监视和控制虚拟机的活动。API本身可以防止恶意代码进入虚拟机以及恶意代码在虚拟机中执行。”

　　因此看起来，我们还是需要一个在虚拟机中运行的安全软件代理。