虚拟化安全的喜与忧
2014-04-15王蕊
■王蕊
虚拟化安全的喜与忧
■王蕊
随着虚拟化技术的不断深入,越来越多的企业依靠虚拟化架构运行关键的日常功能。同时,如何保护虚拟化架构的安全也成为企业亟待解决的问题之一。根据卡巴斯基实验室的调查,虚拟化安全虽已引起了企业的更多关注,但是对于是否有必要采取专门的虚拟化安全软件,企业仍忧虑重重。
让企业欢喜,让企业忧
IT技术不断革新令虚拟化技术风生水起。近几年,虚拟化服务器和虚拟桌面渐渐为各类企业所熟知并使用,而非大型企业的专享。对于这些企业而言,使用虚拟化技术并非是为了“赶时髦”。虚拟化技术能够为企业带来真真正正的收益。举例而言,通过减少硬件开支、占地面积、电力消耗和管理需求等,虚拟化能够从整体上减少硬件的占用空间。而按需增加装机量的灵活特性又可以提升IT部署速度,从而显著提升企业整体业务的竞争力。
然而,就在企业乐享虚拟化所带来的巨大收益时,Morcut(又称为Crisis,首个针对虚拟机的木马,最早于2012年被发现)的出现打破了这一切美好。与此同时,越来越多事实表明,虚拟机对大多数形式的恶意软件不具抵抗力,如恶意邮件附件、路过式下载攻击、僵尸木马、网络蠕虫,甚至针对性“鱼叉式钓鱼”攻击。
面对如此情形,64%的IT决策者认为,首次运行虚拟化架构时就应将安全纳入优先考虑的事项之一。然而,在任何IT系统中添加新的安全功能,均会在一定程度上增加资源占用。卡巴斯基实验室的调查结果显示,55%的企业认为虚拟化服务器性能对其业务起到至关重要的作用;39%的企业表示,增加安全措施使虚拟化架构运行缓慢。由此可见,企业对采取虚拟化安全解决方案心存忧虑不无道理。
忧从何处来?
鉴于上述事实,普遍存在的虚拟化网络缓慢现象究竟由何造成?实际上,选择不当的安全软件才是企业虚拟化架构运行缓慢的元凶。
卡巴斯基实验室的调查显示,46%的受调查者表示,采用专为物理系统设计的传统安全方案足以保护虚拟化环境。正是这种错误的观点造成了虚拟化性能紧张。专为物理系统设计的传统安全方案无法满足虚拟化环境对安全与性能的双重需求,往往以牺牲性能为代价。如此一来,企业对虚拟化的投资回报将大打折扣。
为了深度解析虚拟化安全方案对系统性能的重大影响,独立测试机构AV-Test对比了两种传统安全方案与卡巴斯基实验室的轻代理方案。传统安全方案需要在每台虚拟机上安装代理软件,而卡巴斯基实验室的轻代理方案专为虚拟化环境打造,它将多数安全任务从终端转移至独立设备。这项研究发现,三者的反病毒能力旗鼓相当,但是在系统性能方面却高下立见。传统终端安全解决方案在同时处理多个虚拟机启动时耗时更长,在一些案例中耗费了近两倍的时间。此外,较之卡巴斯基实验室专门的虚拟化安全解决方案,传统安全解决方案在保护多台机器时多消耗了40%至65%的系统资源。
卡巴斯基实验室认为,适用于所有虚拟化环境的解决方案并不存在;结合代理、轻代理、无代理的防护方案才能全面满足企业的所有需求。正是基于这一理念,卡巴斯基实验室于今年上半年推出了卡巴斯基虚拟化安全解决方案(KSV 3.0)。该产品的上市打破了以往同类产品无法兼顾性能与安全的两难困境。它不仅可为VMware平台提供无代理模式的安全防护,还是首款为Microsoft Hyper-V和Citrix XenServer平台打造的优化安全方案,能够在性能与安全之间实现完美平衡,为企业用户提供最佳的虚拟化环境保护。