IT管理者如何應對虛擬風險？

　　服務器虛擬化技術將繼續吸引來那些希望通過服務器整合來節約數據中心成本、能源和空間的企業機構的大量投資。但是很少有IT經理意識到虛擬機數據量增加對他們基礎架構的潛在安全風險。

虛擬化安全隱患

　　雖然現在還沒有報告有哪些安全攻擊是針對虛擬機的，但是安全專家認為，黑客想方設法找到虛擬架構漏洞只是一個時間問題。

　　David Lynch是虛擬機生命周期管理專業廠商Embotics的營銷副總裁。他坦言，現在他還沒有看到任何程序是故意針對攻擊hypervisor的——hypervisor允許多虛擬機在一個物理系統中訪問硬件資源——但是，這只是一個時間問題。

　　他說：“在未來一年內可能將出現針對hypervisor的攻擊，黑客肯定是有機可乘的。如果你參加了像Black Hat這樣的技術安全大會的話，你就會發現虛擬化技術已經成為他們熱議的話題。很多人致力于這個領域，也有很多人關注這個領域。”

　　Warwickshire County Council最近啟動了一個將他們的虛擬環境擴展到175個主數據中心和二級數據中心內的計劃。他們選擇Hyper-V以及微軟WindowsServer 2008操作系統來支持服務器虛擬化、臺式機虛擬化以及應用虛擬化。

　　Warwickshire County Council技術開發經理Chris Page表示：“我們沒有發現任何在Hyper-V內的安全風險，也沒有在虛擬系統中的任何可能危及安全的情況，但是從理論上來講這些都是可能發生的。”

　　虛擬服務器通常被認為是可以加強IT架構安全性的，因為虛擬服務器將獨立的操作系統和應用相互分離，虛擬化機箱之間沒有任何相互影響，因此將木馬入侵的幾率降至最低。

　　但是Lynch認為這種分離可能會引起另外一種問題，因為管理和安全工具將根據物理特性來識別服務器，而物理服務器彼此看上去都是一樣的。

　　他說：“另外還有一個問題，那就是虛擬機是可移動的，因為虛擬機可以輕易被帶出安全區域，避過入侵檢查系統或者防火墻。例如，虛擬機可以被保存在USB設備上，在接入服務器之前可能是在數據中心之外的。”

　　雖然虛擬化技術是復雜的，但是沒有什么自動化可言。這就意味著需要許多手動管理和控制，技術人員應該具備某種作出適當決策的能力。

　　Lynch表示：“這就可能出現更多的人為錯誤以及對獨立系統更少的審核和追蹤。”

安全策略

　　Page認為，即使虛擬機受到攻擊導致癱瘓的話，我們也是非常容易將這些風險隔離開來，通過系統恢復來最大程度上減少宕機時間。

　　他說：“虛擬機可以在后端保留任何一個系統的副本或者在服務器上備份系統，這樣在事故發生的時候就可以快速啟動備份。”

　　任何對虛擬化系統的安全風險都可能因為環境分區的程度不同而具有不同的特性和大小。但是Lynch表示，IT安全技術人員至少要知道虛擬系統需要不同對待，適用于物理系統的安全措施有時候并不適用于虛擬系統，這是非常重要的。

　　他表示：“他們需要開始考慮怎樣控制虛擬機、如何將發生故障的部分隔離開來、應該制訂怎樣的策略來防止潛在的風險。”

　　他說：“最后一件必須做的事就是重新制訂他們的安全策略來適應虛擬化技術，安全技術人員應該清醒地意識到物理服務器和虛擬服務器之間存在著本質的區別。”

　　Lynch坦言，這個問題還沒有引起IT管理者的足夠重視，但是政府和金融機構——他們更加重視安全性——已經意識到了其中更得重要性，他們應該防患于未然。