在虚拟化环境中,若某个虚拟系统或者虚拟程序受到潜在威胁,则势必会影响到其他系统或者程序并进而严重威胁到企业自身的安全。随着虚拟化技术在数据中心应用方面日益普及,下面,将具体谈到解决虚拟化安全挑战的五个方面:
1、把安全计入整体成本
在考虑到虚拟化时,企业一般都会通过节约成本提高服务器利用率,以及整合数据中心的服务器来实现——基于硬件的节省和供应成本的降低。事实上,安全也应该纳入到成本核算体系当中。比如,提供监测、入侵检测、补丁验证和追踪的虚拟设备成本,已经其他需要安装到各个物理平台上的安全服务器。这样可以减少每个物理主机所需支持的虚拟服务器,从而也影响到投资回报率。
2、把安全视作虚拟化设计阶段的首要因素
企业需要对虚拟世界监测安全性能指标——需要在隔离应用程序和系统方面做出聪明的抉择。例如,把信用卡信息从虚拟环境中分离出来,可以有效地减少PCI(支付卡行业)追踪相关电子交易信息。然而,在面向互联网的Web服务器中存储信用卡信息,并在同一物理主机上设有核对目录清单的应用服务器,这样会导致数据库管理订单追踪面临更大的威胁。
3、监视无形网络
虽然物理服务器环境之间的数据,是通过一个物理网络来传输的、并且也是可以监控的,与此相对,虚拟服务器则是连接到一个虚拟网络环境中——这就使得在虚拟主机之间,监测和保护传输中的数据变得十分困难。对此,现实当中经过验证的解决方案有:适用虚拟环境下的入侵检测和嗅探器。其他的解决方法则包括加强监控、虚拟补丁管理以及虚拟系统环境中的安全调查工具。
4、监控便携式存储设备
对于虚拟环境而言,再没有比监控个人数据存储设备的使用更重要的了。得益于便携的天性和虚拟服务器映像的优点,虚拟化是一项很出色的促进数据恢复的技术。企业组织可以把系统映像拷贝到一个硬盘当中以便将来恢复系统,也可以把映像连接到复制后的数据之中。
但是,USB闪存盘、安全数码卡和iPods都可以提供数GB的移动存储给任何一个用户——包括那些想拷贝一些服务器映像并且逃之夭夭的人。拥有一套对付这些设备的管理方案,对于保护敏感信息或者个人、商业信息都是十分必须的。
5、紧盯最新虚拟化安全研究
在2008年的DEFCON黑客会议上,一些身处最前沿的安全研究员展示了多种攻击管理软件的方法,而这些被攻击的管理软件又会反过来损害虚拟主机,使公司的资产比如信用卡资料、薪金和福利以及专有的业务战略等信息外泄。请记住,这些潜在的攻击还仅仅是冰山一角。企业需要有针对最新安全研究的专门部署,并在某些情况下,即使无计可施也要采取其他方面的控制手段。
这五个方面反映了信息安全必须纳入评估、设计和执行虚拟化环境以及保护数据安全和满足相关要求的战略观点。随着众多企业关注虚拟化带来的种种好处,它们也必须审查将会面临的核心风险——意味着安全需要从一开始就重视起来。