虛擬化(Virtualization)是這一陣子認門的話題之一,從微軟、RedHat、VMWare、Xen等公司推出各式各樣的免費/付費虛擬化軟體,可見其受廠商重視的程度。之前我們常說網路是一個虛擬的世界,不過那是對人類而言,對電腦程式(作業系統)都還是存在於真實的環境(硬體)下。而虛擬化則是把程式或作業系統的執行移入了一個虛擬的環境,所以對程式而言,不再直接擁有硬體設備。以資訊安全的角度而言,每一個程式都會帶來額外的風險,而虛擬化軟體本身就有可能是受到攻擊的目標(雖然目前還沒看到真實的案例,僅止於概念)。除此之外,因為對人類而言,虛擬化通常也代表了複雜化,如何有效管理以避免產生安全的危害,更是一個重要的課題。有些虛擬化環境的管理軟體,可以幫助解決這樣的問題。但是如何把虛擬化環境與真實環境做有效的整合與管理,應該是未來必須加以克服的問題。
虛擬化對於資訊安全是正面還是負面的,各有不同的支持者。但是不管結果為何,根據過去的經驗,一個新的技術或應用會不會被企業所接受通常跟安不安全沒有直接的關係。所以對我們而言,所能做的就是了解虛擬化對資訊安全的影響,並知道應該如何加以有效防範。
Forrester Research在今年中提出了一份報告,對於虛擬化與資訊安全的關係基本上是持正面的態度。報告中指出,因應虛擬化,企業應該做的就是把原先資訊安全的政策延伸到虛擬化的環境。也就是說,虛擬化所帶來的技術上的新威脅並不是主要的安全問題來源,而是能不能有效管理這些虛擬的東西。這些虛擬的東西包含了虛擬網路(Virtual networks)、虛擬核心(Virtualization Kernel)、乘載虛擬系統的作業系統(Console operating system)以及當資料轉移時在網路傳遞的影像(Live migration network traffic)。除了在網路上傳遞的影像,虛擬磁碟的檔案本身,以及記憶體的存檔,都是必須嚴加保護的資料。而虛擬環境的管理系統,那就更不用說了,一定要做好控管,不然等於敞開大門讓宵小直驅而入。
另外因為虛擬化的系統往往不是24HR開啟的,甚至有些是有需要時才開啟,所以如何確保系統本身是在最新的更新狀態下,就是一個重要的課題。這個可以透過所謂的Offline更新的方式,讓沒有開啟的系統也可以進行更新。不過,想當然爾,通常並不是連應用程式都能更新,所以還是會有一些死角(有可能是蠻大的死角,要看虛擬化系統的應用為何,也就是上面執行了哪些程式)。還有一個方式就是使用NAC的產品,讓未更新的系統必須先經過更新的動作才能連結到企業的網路。
留言列表