需避免的虚拟化四大安全隐患

2.虚拟机成倍增长，补丁更新负担加重

"虚拟机修补面临更大的挑战，因为随着虚拟机增长速度加快，补丁修复问题也在成倍上升"伯顿集团的Lindstrom表示。"证实各个机器上补丁修复的能力在虚拟世界里更加重要".

IT管理人们也认同补丁在虚拟化环境中的关键性，但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题，而是量的问题。"我们需要紧记虚拟化服务器与物理服务器一样也需要补丁管理和日常维护"Catapult公司的罗斯表示。Transplace公司有三种虚拟化环境——两个在网络内部，一个在隔离区（DMZ）上——大约有150台虚拟机。"管理程序额外增加了层来用于补丁管理，不过无论物理机还是虚拟机上补丁都非常关键"，罗斯表示。

对Bowdoin的Antonowicz来说，应对虚拟服务器的增长过快是目前优先考虑的问题，当服务器成倍增长已经超出我们的控制之时，我们也要及时增加补丁服务器的数量。过去他们会将40台服务器作为补丁，但是现在用于安全保障的补丁服务器数量已经超过了80台。他希望将来能有一款工具能更好的实现这一进程的自动化。

"在没有任何物理约束的情况下，虚拟机的增长速度不断加快"Antonowicz表示。"在我们使用更多的虚拟机之前，我需要了解更多补丁自动化的信息".

3.在隔离区（DMZ）运行虚拟机

通常，许多IT管理人都不愿在隔离区（DMZ）上放置虚拟服务器。其它的IT管理者们也不会在隔离区（DMZ）的虚拟机上运行关键性应用程序，甚至是对那些被公司防火墙保护的服务器也敬而远之。根据伯顿集团的Lindstrom的说法。不过如果用户正确采取安全保障措施，这样做也是可行的。"你可以在隔离区（DMZ）内运行虚拟化，即使防火墙或隔离设备都是物理机上。在多数情况下，如果把资源分离出来是比较安全的方式"，他表示。

Bowdoin公司的Antonowicz表示，不管是隔离区还是非隔离区，他都会建立虚拟化环境，他是采用在虚拟资源的集群中限制访问的办法。"每个集群都是自己的资源和入口，因此无法在集群之间来回串联"，他解释说。许多IT管理者们致力于将他们的虚拟服务器分隔开，将他们置于公司防火墙的保护之下，还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。Transplace公司的IT基础架构总裁斯科特。安克表示，防火墙和在隔离区虚拟机上运行的应用程序之后就是价值的体现，比如DNS的服务。

"我们在可信赖主机的平台上运行防火墙。在我们的隔离区，我们将在少数VMware公司实例上运行物理服务器，但是在可信赖平台和非信赖网络之间的鸿沟却难以跨越"，安克表示。

4.管理程序技术的新特性容易受到黑客的攻击

任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘，发现虚拟操作系统的缺陷进而发动攻击呢？

工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕，他们存在潜在导致漏洞和安全隐患的可能性，安全维护人员只靠人工补丁修护是不够的。

"虚拟化从本质上来说全新的操作系统，还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响"位于Ptak的诺埃尔协会创始人兼首席分析师RichPtak表示。"让情况一团糟的可能性是存在的".

虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解，象VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性。

"VMware公司与微软公司相比成绩显著，在各大厂商中走在了行业的前列"互联网研究集团的负责人彼得。克里斯蒂表示。"不过管理程序使用的代码数量相对简单，比八千万行的代码要安全的多".

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]