企業安全:你的虛擬服務器真的安全嗎

　　業界經常會有聲音質疑虛擬服務器的安全性不如物理服務器。這是個有趣的問題，因為除了涉及物理服務器的各種安全問題外，虛擬服務器又增加了其自身特有的安全問題。在前不久召開的2008微軟TechDays 上，我出席了有關問題的研討會。

　　上面我所指的來自業界的質疑聲音，來自著名的IDG 和 Gartner.

　　物理服務器我們已經接觸了很久，它也是我們最喜歡的服務器。每臺服務器上安裝的應用服務和操作系統可能都不盡相同，但是為了維護這些物理服務器的安全，我們所做的工作卻沒有太大區別。

　　對于所有物理服務器來說，面對的主要安全問題無非以下幾項：

　　· 控制物理訪問

　　· 監控網絡訪問

　　· 限制管理特權

　　上面列出的安全問題可能很少，但是對于物理服務器來說，所有安全問題都已經是擺在臺面上了。但是與物理服務器相比，虛擬服務器又有哪些不同呢?

　　虛擬服務器額外的安全挑戰

　　對于虛擬服務器或者物理服務器來說，不論它是運行Windows系統還是Unix系統，都仍然需要監控。服務器上運行的操作系統也需要進行安全升級，其上的軟件也需要及時進行升級或者打補丁。這種狀況一直都沒有變過，而且Unix系統同樣存在安全漏洞。在我看來，Unix系統的漏洞比Windows系統少一些，但是采用Windows系統的服務器數量要比采用Unix系統的服務器多很多，因此存在較大安全風險的服務器更多。

　　除了系統漏洞外，虛擬服務器還有很多自身的安全問題。想象一下，整個虛擬服務器都包含在叫做虛擬硬盤 的資源中，而整個虛擬硬盤實際上都是一堆文件而已。

　　想象一個 Word文檔的安全問題，再與作為一個超大文件的虛擬服務器對比一下，我們不難明白，這種文件化的服務器問題實在太多了。

　　同時需要進行安全保護的內容還包括服務器的配置文件，這些配置文件包含了與服務器名稱，Ram配置，網絡配置等重要內容相關的文件。

　　在這種情況下，我們能馬上意識到對于虛擬服務器來說，來自內部的威脅可能性變大了。這主要是由于作為文件的虛擬服務器遠比物理服務器更容易被移動。

　　另一個需要考慮的安全問題是如何控制對這些“文件”的訪問。一旦存儲虛擬服務器的物理服務器被入侵，那么受影響的決不僅僅是某一個虛擬服務器。

　　現在如果說，我們盡力保護物理服務器的安全，并且肯定其上的文檔都是安全的，那么其上的虛擬服務器會和文檔一樣安全嗎?

　　實際上，虛擬服務器要比文檔更容易成為攻擊目標。

　　我們可以通過技術手段讓某個服務器與網絡連接隔離，這可以降低通過網絡入侵虛擬服務器的可能性。但是對于內部威脅來說這種技術手段毫無用處。

　　我們采用和物理服務器一樣的手段來保護虛擬服務器的訪問安全，比如采用最小特權訪問，NTFS安全性，ACL許可，活動目錄組成員等技術手段，但是這些手段能夠確保虛擬服務器的安全嗎?歡迎廣大讀者一起討論這個問題。