虚拟化技术是IT业界近年的热点之一,有关厂商及用户可以随口便列出虚拟化技术的多个优点,诸如减少服务器的过度提供、减少IT的总体投资、增强提供IT环境的灵活性、工作负载可以共享资源等等….但互联网安全专家Check Point软件技术有限公司指出,用户在IT环境使用虚拟化技术千万别得意忘形,忽略其安全方面的缺陷,否则可能会弄巧成拙。
Check Point 的安全顾问吴航以一个显浅的比喻解释虚拟化技术的正确看待态度:“使用虚拟化技术犹如驾驶一辆跑车,很多驾驶者马上就被其高速所吸引,但在风驰电掣之余,他们也必须知道如何能安全地驾驭这辆跑车,例如使用刹车系统、转速器等,否则很容易会车毁人亡!”
吴航指出,虚拟化技术的“软肋”就是安全。根据Gartner的预测,在未来几年,60%的虚拟化电脑设备的安全保护水平将比实物电脑系统为弱,这使得虚拟化设备成为潜在恶意代码或者黑客的首选攻击对象。
前事不忘乃后事之师
吴航表示,用户首先是要正确认识虚拟化电脑设备所面对的安全风险,在这方面有很多关于潜在威胁的理论和讨论,例如针对hypervisors 技术的恶意代码,但可以肯定的一点,就是针对虚拟化设备的攻击会伴随着它的进一步普及而激增,因此系统管理员的挑战是确保虚拟环境的安全水平和实际网络相当。 而业界用了整整15年,还是不断努力确保实物服务器及数据环境的安全,全力以赴应对瞬息万变的安全威胁,所以虚拟化设备的安全战斗也将是艰巨而漫长的。
系统管理员需要按部就班解决虚拟化设备的安全问题:首先看看哪个应用程序是从物理层服务器转移到虚拟机的,并查看机构使用了什么虚拟化设备。
由于虚拟化技术的性能表现卓越,往往令用户忽略虚拟化设备上运行的应用程序需要分开。假如是公用电子商务应用或内部客户关系管理系统(CRM),客户不会希望这些应用程序在没有防火墙保护的情况下和服务器有任何实际连接,这也适用于在服务器上运行的虚拟化设备,它们也需要分隔以保证安全性。
同样道理,如果用户是在一个传统服务器上运行一个关键任务应用程序,他需要确保操作系统的巩固性,并更新了补丁以及运行最新的反恶意程序套件,确保运行的所有虚拟设备都有同样的准备。
一旦客户开始部署虚拟设备,他必需为此等设备进行统一的安全保护,包括更新、补丁、反恶意程序以及防火墙等,而这些工作都是在控制实际网络的同一个安全管理控制台上进行。
把虚拟化安全付诸实行
吴航用美国BlueLock LLC公司的例子来演绎如何把虚拟化设备的安全付诸实践行动,该公司把其业务定位为“通过提供基础设施作为服务”,它为客户在减省用于硬件及软件的开支,同时令基础设施的管理工作更为简便。
因此BlueLock LLC的所有基础设施 – 包括服务器、交换机和路由器都在云计算系统内成为“虚拟机设备”,所以它需要非常可靠的安全保护,确保不同客户的数据和应用程序是完全分离的。
为了达到这个安全水平,BlueLock LLC公司采用了60台Check Point’s VPN-1虚拟版本(VE)虚拟设备,它为每一个客户配置一台,全都在刀片服务器上运行。
这使得该公司的客户尽管是使用同样的实际服务器,但仍然能分隔使用不同的程序。在过去,程序在单一服务器上虚拟化后,分隔使用是不可能的。这也令BlueLock LLC能通过使用Check Point的现有的行政管理工具,便能在单一安全方案同时管理实际及虚拟环境。
BlueLock LLC首席技术官Pat O’Day表示:“如果使用实际设备,我们必需在远程站点部署相同的硬件备份,同时两个站点的硬件配置必需一致,这工作是十分困难的。”因此BlueLockLLC通过存储区域网络把路由器、交换器、服务器及安全虚拟化,复制至其盐湖城灾难恢复站点。
O’Day表示:“通过高度安全的虚拟化处理,我只需登陆至盐湖城灾难恢复站点,打开电源便能把整个环境启动,这是具备经济效益的举措,我们为灾难恢复站点的投入主要是购买存储设备而已。”
吴航总结说,使用虚拟化电脑环境的法则和传统的IT环境相仿,就是必需先要确保其高度的安全保护。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Paul Kocher评价幽灵漏洞的披露过程
在发现震惊技术界的漏洞五个月之后,安全研究专家Paul Kocher分享了他对幽灵漏洞的想法,谈到了困扰大家的 […]
-
OpenSSL首次中国行:看互联网安全背后的中国力量
9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。
-
传统网络边界消弭,企业安全需从IT架构建起
随着云计算、移动化等技术的发展,企业网络边界变得模糊,传统的边界安全无法再很好地保护企业安全,为此,企业需要转变防御观念,从架构角度出发建立起新的IT安全架构,以应对无处不在的网络威胁。
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。