服务器虚拟化管理阶段的安全问题和对策
当服务器虚拟化改造结束后,随之而来的管理问题就浮出水面。企业IT管理人员,除了像以前一样面对一台台物理机外,还要面对一台台隐藏在物理机内部的虚拟机,而且它们的数量可能随时都会增加。当然现在日趋完善的虚拟化管理平台可以有效地管理这些虚拟机,但这些虚拟机的安全问题是同样不容忽视的。对待虚拟服务器应当像对一台物理服务器一样地对它进行系统安全加固,对于访问者而言它和物理服务器没有区别,同样面临被人恶意攻击的风险,一旦一台有漏洞的虚拟机被攻陷,它有可能成为进一步攻击行为的平台,威胁到其它虚拟机甚至整个虚拟机管理系统,因此及时更新包括系统补丁、应用程序补丁在内的补丁,所允许运行的服务、开放的端口等等都应进行审慎的考量。如今大多数企业通过保持少量的通用的“黄金”镜像,从这些镜像推出用于许多用途的新的虚拟机,当然这样的好处是快速便捷,但其中存在安全隐患就在于虚拟机系统的补丁可能落后于更新。虽然VMware和微软两大虚拟平台提供商在自己的产品都提供了补丁管理的功能,但由于管理者疏忽而导致的系统漏洞也许会成为攻击者的可趁之机,同时每台虚拟机的安全策略也应当针对不同的运用而有所区别。要特别注意物理主机的安全防范工作,消除影响主机稳定和安全性的因素,防止间谍软件、木马、病毒和黑客的攻击,因为一旦物理主机受到侵害,所有在其中运行的虚拟服务器都将面临安全威胁,或者直接停止运行。
此外虚拟机的数据安全也应引起足够的重视。就系统的型态来说,虚拟机只是存储在实体硬盘的几个文件,一旦有办法取得存取硬盘扇区的权限,就能将这些文件复制到其它装置,然后从企业内部流出。要注意管理员或其它管理物理主机以及虚拟机的账号及密码的安全,严格控制访问权限和访问的时间,防止其它非授权用户停止虚拟机。文件共享也应当使用加密的网络文件系统方式进行。对于每台虚拟服务器,都必需分别实施相应的备份策略,包括它们的配置文件、虚拟机文件及其中的重要数据都要进行备份。备份也必需按一个具体的备份计划来进行,应当包括完整、增量或差量备份方式。另外,将数据和备份数据保存至异地将是不错的方法,但是会增加一定的成本和管理复杂度。
在日常管理中还要加强对新开虚拟机的审核,做好虚拟机的备案工作,避免虚拟机的盲目扩张,及时关停停止使用的虚拟服务器。虚拟机蔓延是虚拟机没有控制的扩散。IT经理、开发人员或者业务部门的经理为了某些具体的应用需要一些额外的服务器。他们推出了这些虚拟机,但是后来忘记了并且失去了对这些虚拟服务器的跟踪。虚拟机蔓延浪费资源,创建了可能访问敏感数据的没有人监视的服务器。当以后出现问题的时候,整个公司和IT部门要清除这些虚拟机是很痛苦的。因此建立一套虚拟机的管理制度是行之有效的方法。
