你認(rèn)為服務(wù)器蔓延很糟糕？那你一定還沒(méi)有經(jīng)歷過(guò)虛擬服務(wù)器的蔓延。當(dāng)用戶只需要點(diǎn)擊一下鼠標(biāo)就可以復(fù)制虛擬機(jī)或者保存應(yīng)用以及操作系統(tǒng)的版本以備不時(shí)之需，那么一旦IT不能保證嚴(yán)格控制的話，你就會(huì)面臨諸多麻煩，虛擬化管理廠商Embotics在美國(guó)Interop展會(huì)上如是表示。

Embotics市場(chǎng)營(yíng)銷副總裁David Lynch在Interop展會(huì)題為：“Virtualisation's Phantom Menace: Security”的演講中表示，服務(wù)器虛擬化項(xiàng)目主要是因?yàn)橛脩魧?duì)環(huán)境整合的需求所推動(dòng)，但是虛擬機(jī)不可控制的增長(zhǎng)可能會(huì)適得其反。虛擬機(jī)蔓延造成了物理服務(wù)器和軟件資源的浪費(fèi)，而且還可能給IT技術(shù)人員帶來(lái)更多手動(dòng)操作和安全風(fēng)險(xiǎn)等沉重負(fù)擔(dān)。

他表示：“虛擬世界中虛擬機(jī)蔓延的風(fēng)險(xiǎn)要比在物理環(huán)境下的高得多。你在現(xiàn)實(shí)情況下看到服務(wù)器蔓延所帶的麻煩，那就意味著虛擬化環(huán)境下更加糟糕。”

虛擬機(jī)蔓延并不單單指數(shù)量的增多，還牽扯到那些沒(méi)有適當(dāng)IT監(jiān)控的虛擬機(jī)數(shù)量逐漸增多。

Embotics的一家用戶發(fā)現(xiàn)，雖然他們有將近5000臺(tái)虛擬機(jī)，但實(shí)際上其中大多數(shù)都是不需要的。IT技術(shù)人員僅僅是通過(guò)關(guān)閉虛擬機(jī)工作，然后看是否有人對(duì)此做出回應(yīng)來(lái)判斷這臺(tái)虛擬機(jī)是否有用。數(shù)據(jù)顯示，有將近70%的虛擬機(jī)都是無(wú)用的，但是這些虛擬機(jī)仍然在耗費(fèi)網(wǎng)絡(luò)資源以及軟件許可。

離線虛擬機(jī)是他們面對(duì)的主要難題，因?yàn)樽詣?dòng)補(bǔ)丁系統(tǒng)并不能識(shí)別出這些虛擬機(jī)，沒(méi)有給這些離線虛擬機(jī)進(jìn)行重要的升級(jí)。Lynch建議，IT機(jī)構(gòu)應(yīng)該為一臺(tái)虛擬機(jī)離線的時(shí)間長(zhǎng)度進(jìn)行限制，如果一臺(tái)虛擬機(jī)離線一定時(shí)間，例如30天的話，那么就自動(dòng)刪除掉這臺(tái)虛擬機(jī)。

虛擬機(jī)蔓延背后的一個(gè)關(guān)鍵問(wèn)題就是用戶很輕易就可以生成一臺(tái)虛擬機(jī)，然而追蹤到底有多少臺(tái)虛擬機(jī)、這些虛擬機(jī)配置的時(shí)間和位置卻是一個(gè)難題。

現(xiàn)在市場(chǎng)中大多數(shù)的安全產(chǎn)品并不是針對(duì)那些虛擬化流動(dòng)環(huán)境。那些在物理環(huán)境下可以被解決的安全問(wèn)題到了虛擬環(huán)境下可能就無(wú)法解決。hypervisor實(shí)際上是引入數(shù)據(jù)中心的另一種系統(tǒng)，不過(guò)它的引入并沒(méi)有經(jīng)過(guò)嚴(yán)格的審查。Lynch表示：“Hypervisor是一種以服務(wù)器整合形式進(jìn)入環(huán)境的操作工具，它從來(lái)沒(méi)有像其他引入數(shù)據(jù)中心的技術(shù)那樣經(jīng)過(guò)嚴(yán)格的審查。”

因?yàn)閔ypervisor具有通向多個(gè)虛擬機(jī)的路徑，所以它成為了系統(tǒng)攻擊者的最佳目標(biāo)。Lynch表示：“如果可能的話，你可以進(jìn)入許多服務(wù)器系統(tǒng)。”

Hypervisor中只有很小一部分代碼是用于防止病毒入侵的，最近在VMware桌面虛擬化軟件中發(fā)現(xiàn)的漏洞也引起了人們對(duì)服務(wù)器虛擬化技術(shù)安全性的擔(dān)憂。Lynch預(yù)計(jì)今年將發(fā)生更多基于hypervisor的攻擊。市場(chǎng)研究機(jī)構(gòu)Gartner分析師Neil McDonald表示，目前生產(chǎn)中的虛擬機(jī)超過(guò)60%都比相應(yīng)的物理產(chǎn)品安全性低。

IDC預(yù)測(cè)，到2011年將有超過(guò)半數(shù)的服務(wù)器設(shè)備被虛擬化。用戶從VMware的網(wǎng)站就可以下載到所謂的虛擬應(yīng)用，而且虛擬應(yīng)用將成為配置軟件最常見(jiàn)的途徑。不過(guò)這些應(yīng)用也會(huì)帶來(lái)新的安全隱患，我們很難知道從網(wǎng)站上下載下來(lái)的虛擬化應(yīng)用是否是正軌廠商提供的，或者升級(jí)程序的來(lái)源是否可靠。

總的來(lái)說(shuō)，虛擬化技術(shù)要求新的安全策略，不過(guò)這方面的進(jìn)展非常緩慢，而且對(duì)那些被行業(yè)說(shuō)法蒙蔽的企業(yè)用戶也遇到了不少麻煩。

安全策略應(yīng)該直接嵌入到hypervisr內(nèi)，但是hypervisor的設(shè)計(jì)者并不一定是安全安全專家。

現(xiàn)在不少?gòu)S商在研發(fā)嵌入式hypervisor安全工具方面已經(jīng)取得了一定進(jìn)展。IBM啟動(dòng)了一項(xiàng)與虛擬化有關(guān)的放入侵項(xiàng)目，VMware也在今年二月發(fā)布一系列API，這向安全廠商提供了對(duì)hypervisor更高的可見(jiàn)性。

Lynch認(rèn)為，這實(shí)際上讓我們看到了“hypervisor制造的黑洞”，除非VMware真正對(duì)其API具有選擇性，否則還是會(huì)引入新的安全風(fēng)險(xiǎn)。

Lynch表示：“并不存在所謂的私有API，不久廠商將公布越來(lái)越多的API。”

標(biāo)簽： idc 安全 代碼 服務(wù)器 服務(wù)器系統(tǒng) 服務(wù)器虛擬化 漏洞 美國(guó) 企業(yè) 網(wǎng)絡(luò) 網(wǎng)站 問(wèn)題 行業(yè) 虛擬服務(wù)器 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。