你們以為虛擬化就安全了嗎？

安全是懸在云計(jì)算頭上的一個(gè)利劍。比如，虛擬化后的集中帶來致命的弊端，一旦承載虛擬化平臺(tái)的電腦系統(tǒng)出現(xiàn)問題，企業(yè)辦公將受到牽連，嚴(yán)重時(shí)還可能使整個(gè)系統(tǒng)癱瘓。

你們以為買了個(gè)云安全平臺(tái)就安全了嗎？無非不都是利用引流技術(shù)將流量引到裝有傳統(tǒng)安全設(shè)備鏡像的資源池里做“流量清洗、行為識(shí)別、特征分析?！绷T了。

1、虛擬機(jī)間的相互×××
傳統(tǒng)的IDS設(shè)備，利用交換機(jī)的端口鏡像功能，可以監(jiān)控外部對(duì)DMZ區(qū)，以及DMZ區(qū)內(nèi)部不同服務(wù)器之間的×××行為；但在虛擬化環(huán)境中，位于同一臺(tái)虛擬器（物理服務(wù)器）上的不同虛擬機(jī)之間的通訊不再經(jīng)過網(wǎng)絡(luò)交換機(jī)，使傳統(tǒng)的***檢測(cè)設(shè)備失效。這個(gè)時(shí)候內(nèi)部或外部人員通過對(duì)某一臺(tái)虛擬機(jī)的控制，就可以對(duì)這臺(tái)物理服務(wù)器上的其他虛擬機(jī)發(fā)起×××，從而獲得整個(gè)服務(wù)器群的控制權(quán)。

2.不同安全級(jí)別無法合并
在信息安全建設(shè)過程中，劃分安全域是個(gè)重要的過程，在不同安全級(jí)別的安全域之間通過一系列的安全技術(shù)防止風(fēng)險(xiǎn)的擴(kuò)散；在虛擬化過程中，分布在不同安全域中的服務(wù)器整合的時(shí)候，由于無法采用隔離技術(shù)，通常會(huì)面臨無法合并的問題

3.以主機(jī)為基礎(chǔ)的安全策略無法部署
任何一種平臺(tái)大規(guī)模上線使用后都會(huì)成為廣大網(wǎng)絡(luò)××××××的對(duì)象，虛擬機(jī)也不例外，目前基于虛擬機(jī)的安全軟件都是基于物理機(jī)開發(fā)的，其防護(hù)方式無一例外都是借助傳統(tǒng)方式，而且每一臺(tái)虛機(jī)如果都安裝安全軟件，對(duì)物理服務(wù)器的存儲(chǔ)空間、內(nèi)存資源占用較大。虛擬機(jī)的初衷是綠色環(huán)保，低碳節(jié)能，沒有業(yè)務(wù)運(yùn)行的時(shí)候可以關(guān)閉虛機(jī)，業(yè)務(wù)恢復(fù)時(shí)開啟虛機(jī)，但關(guān)閉期間，病毒代碼是無法更新的，一旦開機(jī)，多個(gè)防病毒軟件同時(shí)更新一個(gè)病毒碼對(duì)網(wǎng)絡(luò)帶寬也有較大影響。網(wǎng)絡(luò)安全設(shè)備目前也沒有監(jiān)測(cè)虛機(jī)之間通信流的能力，先進(jìn)的虛擬平臺(tái)搭配傳統(tǒng)的防范策略，無疑影響了虛擬平臺(tái)的使用，網(wǎng)絡(luò)×××和內(nèi)部×××可以利用這個(gè)時(shí)期大規(guī)?！痢痢撂摂M機(jī)，并借助單臺(tái)虛擬機(jī)×××虛機(jī)群，業(yè)務(wù)系統(tǒng)隨時(shí)崩潰。
4.隨時(shí)啟動(dòng)的防護(hù)間隙
除服務(wù)器整合之外，企業(yè)通過按需配置和取消配置虛擬機(jī)，將其動(dòng)態(tài)性用于測(cè)試環(huán)境、定期維護(hù)、災(zāi)難恢復(fù)以及用于支持需要按需計(jì)算資源的“任務(wù)工作者”。因此，當(dāng)以較快頻率激活和停用虛擬機(jī)時(shí)，無法快速、一致地為這些虛擬機(jī)配置安全措施并使其保持最新。休眠的虛擬機(jī)最終偏離引入大量安全漏洞這一簡(jiǎn)單的基線。如果不配置客戶端和病毒庫更新，即使是使用包含防病毒功能的模板構(gòu)建的新虛擬機(jī)也無法立即對(duì)客戶機(jī)起到防護(hù)作用。簡(jiǎn)言之，如果虛擬機(jī)在部署或更新防病毒軟件期間未處于聯(lián)機(jī)狀態(tài)，它將處于不受保護(hù)的休眠狀態(tài)，一旦激活、聯(lián)機(jī)后將會(huì)立即受到×××。

5.虛擬機(jī)的安全級(jí)別混雜
同一臺(tái)物理服務(wù)器上的多個(gè)虛擬機(jī)可以相互通訊，在通迅過程中會(huì)產(chǎn)生安全隱患，因?yàn)橥獠康木W(wǎng)絡(luò)安全工具從防火墻到***檢測(cè)和防護(hù)系統(tǒng)再到異常行為監(jiān)測(cè)器，都無法監(jiān)測(cè)到物理服務(wù)器內(nèi)部的流量．如果×××者攻克了一臺(tái)虛擬機(jī)，就可以用它來***同一臺(tái)服務(wù)器上的其他虛擬機(jī)．另外，虛擬機(jī)會(huì)在不同服務(wù)器之間遷移，并且這種遷移經(jīng)常會(huì)自動(dòng)完成，這可能會(huì)讓一些重要的虛擬機(jī)遷移到不安全的物理服務(wù)器上，從而帶來安全風(fēng)險(xiǎn)．此外，還有一些用作測(cè)試目的的虛擬機(jī)可能會(huì)與重要的虛擬機(jī)存在于同一虛擬局域網(wǎng)中，這也會(huì)給××××××帶來機(jī)會(huì)。

6.資源沖突
常規(guī)防病毒掃描和病毒碼更新等占用大量資源的操作將在很短的時(shí)間內(nèi)導(dǎo)致過量系統(tǒng)負(fù)載。如果防病毒掃描或定期更新在所有虛擬機(jī)上同時(shí)啟動(dòng)，將會(huì)引起“防病毒風(fēng)暴”。此“風(fēng)暴”就如同銀行擠兌，其中的“銀行”是由內(nèi)存、存儲(chǔ)和 CPU 構(gòu)成的基本虛擬化資源池。此性能影響將阻礙服務(wù)器應(yīng)用程序和虛擬桌面 /VDI環(huán)境的正常運(yùn)行。傳統(tǒng)體系結(jié)構(gòu)還將導(dǎo)致內(nèi)存分配隨單個(gè)主機(jī)上虛擬機(jī)數(shù)量的增加而呈現(xiàn)線性增長(zhǎng)。在物理環(huán)境中，每一操作系統(tǒng)上都必須安裝防病毒軟件。將此體系結(jié)構(gòu)應(yīng)用于虛擬系統(tǒng)意味著每個(gè)虛擬機(jī)都需要多占用大量?jī)?nèi)存，從而導(dǎo)致對(duì)服務(wù)器整合工作的不必要消耗。