其他常见的错误

在IBM安全解决方案群组，Lovejoy在客户的网站上看到过由于构建不当的虚拟机镜像而出现的恶意软件和跨站脚本攻击等问题。“常见的情形是，虚拟机镜像常常包含恶意软件，或者有一些很容易被利用的漏洞。”

为了帮助防范被攻击的可能，安全软件厂商们正在创建这样一种模式，利用这种模式，虚拟化软件厂商可以让一些代码在hypervisor层上运行。例如趋势科技的Deep Security软件包括了防火墙、日志检测、文件完整性监测和入侵检测及防御功能。它能与Sun的Solaris Containers、微软的Windows Hyper-V、VMware的ESX Server和Citrix的XenServer虚拟机配合工作。但是通过vSphere，网络文件过滤功能可以在hypervisor上运行，趋势科技的1高级产品开发经理Bill McGee说。

然而，有个问题是，给hypervisor层加压是不是一个好想法呢?

未能实现最佳实践，或者未能在虚拟基础设施中建立明确的责任分工，这就是问题频发的根源，RSA Security的Mulé称。“人们今天仍然不喜欢实行责任分工。他们总想把权杖交给少数人去管理。”他建议开发一种强大的变更管理流程，包括变更管理工票的发放。

Condit对此也表示赞同。“在虚拟世界里，不存在固有的责任分工，所以你必须自己来创建这种分工，”他说。变更管理、配置管理和资产控制，对于保障虚拟基础设施安全来说是至关重要的。

合规性是又一个令人但有的问题。作为欧盟开发银行的系统工程设计经理，Jean-Louis Nguyen需要监控该银行140台虚拟机的管理员们的行为，以确保他们能够遵守各种监管和管理规则的要求。该银行曾尝试过VMware的日志功能，后来发现需要更好的方法才能整合各种日志信息。“要想获得这些日志本身就是不简单的事情，”他说。最后他决定使用HyTrust的专用工具来提供所有管理员行为的集中日志。

该银行还是用HyTrust为首席安全官(CSO)设置了一个完全隔离的虚拟环境，只有他才能全面控制所有物理的和虚拟的基础设施，并利用底层安全软件来加固基础设施。CSO可以监控所有生产现场的虚拟服务器及其配置，但无权做任何变更。

“关键是要确保你的管理体系不会出现管理员滥用权力的情况。我们需要确定的是管理系统是可靠的，不会有人偷窥数据，”Nguyen说。

其他工具可分层配置以获得更多控制。例如，新兴企业Catbird网络提供一种策略管理工具套件，既可在出现违反策略情况时向管理员示警，也可在有虚拟机破坏规则时对其进行隔离。“你需要知道虚拟机去了哪里，到了某地后正在做什么。如果你不喜欢它所做的事，那你就必须有能力终止它的运行，”Catbird的副总裁Tamar Newberger说。

而在Rent-a-Center，是不需要额外工具的，因为强大的检查与平衡策略足以满足管理需求。该公司的安全经理“会及时发布一个流程，说我们不能把某台虚拟服务器放入生产现场，除非他的团队已经将此服务器注销了，”Chanani说。
 

“你需要的是某个可控的技术及时到位吗?这个问题的答案可以是否定的。你需要的是良好的治理和监控吗?这个问题的答案是：绝对的，”RSA Security的Mulé说。

分享按钮