服务器 频道

认识虚拟化的主要安全问题

  《InfoWorld》:由于占用资源比较少,VMware ESXi似乎更安全。确实如此吗?还是它存在的安全问题与VI3一样多?或者是它存在不同的安全问题?是不是人们对ESXi的安全问题似乎比较松懈?

  Haletky:VMware ESXi有着与VMware ESX一样的许多安全问题。确保虚拟化安全要做的绝不仅仅是加固虚拟化主机。即便如此,许多人还是误以为VMware ESXi来得更安全。事实并非如此,因为它没有深层防御功能。任何进程都可以在虚拟机管理程序里面运行,并不仅仅限于主要的对象类型,比如vSwitch或虚拟机容器。大多数人还认为VMware ESXi是一个硬件设备,于是只采取了VMware推荐的多项安全加强措施中的一两项,又没有关注管理或访问VMware ESXi的方式。另外,我认为大多数人在启用安装的ESXi系统上的SSH功能。如果他们这么做,其实没有真正的安全可言,因为ESXi内部没有深层防御功能。

  《InfoWorld》:你能不能说说人们可能还没有认识到VMware存在的最主要的两三个安全问题吗?

  Haletky:正如我在前面讲过的那样,第一个就是使用扁平化虚拟网络作为虚拟网络,而不是使用更稳健、更有保障的网络。这在使用VMsafe vApps时会很有必要。另一个问题是,许多人把管理工具与ESX主机服务控制台放在了防火墙的两侧,这么做是错误的。因为这样一来,他们就得开启许多不必要的端口。相反,他们应当把ESX管理控制台和vCenter工具放在防火墙的同一侧,并且限制只能使用一个协议,比如加密的远程桌面协议(RDP)。这样一来,管理员可以访问虚拟机,进而访问管理工具。最后一个常见的安全问题是,没有使用部署环境的网络/虚拟化主机,这种环境下的网络/虚拟化主机可以防范零日攻击。相反,有些人直接部署到生产环境;如果操作出错,虽然可以删除虚拟机,但这会在磁盘上留下痕迹。

  《InfoWorld》:你认为VMware的虚拟机管理程序与Xen和Hyper-V等竞争产品相比,安全性是更高、更低还是一样?

  Haletky:这个问题很难回答。虚拟机管理程序也许更安全,但关键在于虚拟机管理程序周围的部分是不是更安全。由于使用了VMsafe和VMDirectPath,VMware vSphere 4的受攻击面比VI3更大。不过对Xen和Hyper-V而言,它们有着不同的受攻击面,彼此类似,但与VMware的受攻击面不同。不过,关键在于直接或间接接触虚拟化主机的部分。

  《InfoWorld》:你很快就要出版有关虚拟化的一本书。这本书将着重探讨哪些内容?

  Haletky:这本书名叫《VMware vSphere和虚拟基础架构的安全性:保护ESX和虚拟化环境的安全》,关注直接或间接接触虚拟化主机的所有那些部分,以及组成虚拟化环境的那些组件。没错,该书会介绍如何加固ESX和ESXi,但另外还介绍了存储、操作、管理、虚拟桌面基础架构(VDI)和取证分析等方面。增加了安全方面的内容,包括虚拟化管理员常常没有考虑到、但绝对会影响虚拟化主机安全性的所有那些方面。

0
相关文章