当前,很多企业纷纷减少IT预算中资本支出的部分。在此过程中,调整企业的安全战略以充分发挥虚拟化的优势成为企业不可回避的一个问题。
　　x86虚拟化平台实现于软件,它与其他软件一样,不可能完全没有安全漏洞。VMware、Xen(现在的名称为Citrix)和微软等大型虚拟化平台软件厂商均已在最近几年内找到各自平台的漏洞,但只要按时打补丁和升级,主机几乎不会受到攻击。
　　当前虚拟机的安全问题具体表现在以下几个方面。
　　1.主机/平台安全性
　　虚拟监控系统(VMM)和虚拟机与物理网络连接的虚拟主机平台在可用配置选项类型方面存在很大差异,这主要取决于系统架构。例如,VMware的ESX虚拟主机服务器平台与Red Hat Linux之间存在着许多相似性,此类系统的稳固性大都能够得到增强,客户可以按照“最佳实践”配置准则来提高系统安全性。
　　2.安全通信
　　如果无法确保主机系统与台式机或VMware vCenter等管理基础设施组件之间的安全通信,那么窃听、数据泄露和中间人攻击等情况便会成为企业安全的严重威胁。
　　3.虚拟机之间的安全性
　　虚拟化企业面临的最大安全问题之一是虚拟机间流量的不透明性。主机平台内存在一个能与每台虚拟机连接的虚拟交换机。随着虚拟交换机的引入,主机上的所有虚拟机之间的流量会全部包含在主机的虚拟交换组件内,从而会严重损害透明度和安全性。
　　4.主机与虚拟机之间的安全性
　　虚拟机逃逸(VM Escape)是指恶意代码“突破” 虚拟机,在提供支持的虚拟主机上运行。它一直以来都是信息安全性社区的热点讨论话题,而且已有种种迹象表明存在发生这种逃逸的可能性。事实上,已有事件能够证实存在此类攻击行为。为避免遭受此类攻击,用户可以下载厂商提供的补丁,但目前最安全的方法是关闭不需要的服务来抵御虚拟机逃逸。
　　5. 虚拟机泛滥
　　虚拟机泛滥(VM Sprawl)是指虚拟环境中的虚拟机数量出现不受控制的剧烈增长。随着时间的流逝,虚拟机泛滥所带来的风险会越来越大:处于睡眠状态的虚拟机将丢失补丁或发生更多配置变化。如果此类虚拟机不符合要求又与生产中的主机进行连接,则可能会影响到该虚拟机或其它虚拟机的安全运行。
　　6.安全人员、服务器配置流程和虚拟化脱节
　　许多系统管理员缺乏有效保护虚拟环境的专业知识。例如,存储管理员很容易在虚拟机泛滥的情况下令后端存储吞吐量出现瓶颈。虚拟化正在改变传统的服务器配置流程,我们需要建立一个全新的框架来避免发生虚拟机泛滥问题,进而解决隐藏的安全问题。
　　针对以上问题,戴尔通过以下手段来降低虚拟化的安全风险。
　　1.虚拟化设计就绪
　　戴尔通过流程引导项目相关人员来识别要求和限制,以创建适合不同企业的设计。戴尔利用自身的参考体系结构和现场经验来考虑所有受到影响的最终用户组安全策略、应用程序以及基础架构维护计划,避免实施过程中出现问题。
　　2.虚拟化运营就绪评估
　　通过此项服务可对当前的虚拟服务器运营流程进行评估,确定其与就绪状态之间所存在的差异,并提供改进建议。它涉及架构安全性选项、管理职责分离、离线虚拟机保护/更新和虚拟机审查等安全领域。
　　3.虚拟化健康检查
　　使用《状态检查报告卡》来审计和分析当前虚拟化环境和业务目标,将发现的结果和建议记录到状态检查报告中,标识最重要的问题并确定后续步骤。