使用虚拟化最常见的安全问题

核心提示： 记者：那么你怎么看待新的VMsafe API？它会给我们带来什么样的变化呢？Haletky：VMsafe将从根本上改变虚拟化的安全性，现在你可以通过它来建造工具，使用虚拟化最常见的安全问题(2)，可以从中看到完整的虚拟主机，比如，当他们这样做的时候，实际上丢失了真正的安全性，原先管理虚拟网

记者：那么你怎么看待新的VMsafe API？它会给我们带来什么样的变化呢？

Haletky：VMsafe将从根本上改变虚拟化的安全性，现在你可以通过它来建造工具，可以从中看到完整的虚拟主机。比如，原先管理虚拟网络时每三个虚拟交换机就需要一个代理，现在则变成每台VMware ESX/ESXi主机需要一个代理。然而，使用VMsafe应用也会增加攻击表面积，因为你需要把运行代理的虚拟设备包括进来。因此，在虚拟机上使用单层虚拟网络是绝对不应该再继续的了。

记者：关于Catbird等第三方解决方案，你的看法是什么？还有VMware收购Blue Lane Technologies后将为我们带来什么呢？

Haletky：我认为所有这些第三方工具比如Catbird的V-Security和Reflex System的vTrust等等将会与VMware的vShield Zones有一番激烈的竞争。它们在很多方面做的差不多，Zones整合得更好一些，但这两个第三方工具目前提供的功能要远远超过Zones。[此前 51CTO.com曾经报道，VMware将向其VDC-OS平台中增加vShield Zones安全服务，让企业用户可以在他们自己的数据中心内创建所谓的“内部”云环境。这与传统IT基础架构中的隔离区有些类似，只不是这是基于虚拟机而不是物理设备的。

记者：VMware的ESXi似乎更安全，因为它的“脚印（footprint）”比较小。这是真的吗，还是ESXi会和VI3有同样多的安全问题？另外安全问题的类型一样吗？人们似乎还是对ESXi更放心一些？

Haletky：我认为VMware ESXi和ESX碰到的安全问题是一样的。虚拟化的安全性方案不应仅仅是让虚拟主机变得更强壮而已。即便如此，许多人还是错误的认为VMware ESXi更安全些。另外大多数人把ESXi当作一个设备，他们只是按照VMware的推荐来做一两件事以提高安全性，但并不理会它的管理或访问方式。此外，我相信，大多数人都会启用ESXi的SSH功能。当他们这样做的时候，实际上丢失了真正的安全性，因为ESXi内部并没有深度防御。