使用虚拟化最常见的安全问题

核心提示： 记者：你能否告诉我们，你所认为的与VMware有关的最重要的两个或三个安全问题，使用虚拟化最常见的安全问题(3)，而且是人们可能不知道的？Haletky：第一个问题我刚才说过，就是使用单层虚拟网络，但现在安全性的视角已经扩大，所有这些方面都应该包括进来，而不是寻求更强大的保护措施，而这在使

记者：你能否告诉我们，你所认为的与VMware有关的最重要的两个或三个安全问题，而且是人们可能不知道的？

Haletky：第一个问题我刚才说过，就是使用单层虚拟网络，而不是寻求更强大的保护措施。而这在使用VMsafe vApps时是十分必要的。

另一个情况是许多人错误的把自己的ESX主机服务控制台和管理工具放在了防火墙的不同的两边。如果这样做的话，实际上就已经开放了许多不必要的端口。正确的做法是，他们应该把ESX管理控制台和vCenter工具放在防火墙的同一侧，并且限制只有一个协议可以访问，比如加密的RDP协议。管理员应该以这种方式来访问虚拟机和管理工具。

最后一个较常见的安全问题是不使用网络/虚拟主机（network/virtualization host）的部署方式，这种安排可以阻止零日攻击。错误的做法是直接部署到生产环境，这样的话如果操作出错，或者删除了虚拟机，还是会有东西遗留在硬盘上。

记者：你认为VMware的hypervisor与竞争对手如Xen和Hyper-V相比，它的安全性是更高还是更低，或者差不多？

Haletky：这是一个很难回答的问题。hypervisor可能会更安全，但更关键是它周围的东西是不是更安全。和VI3相比，由于纳入了VMsafe和VMDirectPath，VMware vSphere 4的攻击表面积也会变大。然而对于Xen和Hyper-V来说，它们也具有不同的攻击表面积，彼此类似但是彼此不同。所以说hypervisor并不是最关键的，关键在于那些直接或间接的接触到虚拟主机的东西。

记者：我们知道你有一本有关虚拟化的书很快就会出版。你要说些什么事情，书的重点是什么？

Haletky：书的名字叫做“VMware vSphere和虚拟底层架构的安全性：确保ESX和虚拟环境的安全”，内容就是关于所有这些直接或间接接触的虚拟主机的东西，还有构成虚拟环境的这些组件。是的，书中会讲到怎样让ESX和ESXi变得更强壮，但不止这些，还会涉及到储存、运算、管理、VDI、forensic等方面。这些方面在以前经常被排除在虚拟化管理的范围之外，但现在安全性的视角已经扩大，所有这些方面都应该包括进来，因为它们肯定会影响到虚拟主机的安全性。