Как заявил на этой неделе в ходе конференции Interop Las Vegas эксперт IBM
Джошуа Корман, виртуализация архитектуры X86 пока не готова к использованию в
критически-важных регламентированных приложениях.
Он подчеркнул, что помимо угроз собственно гипервизору и контролируемым им
машинам, виртуализация делает проблематичным соблюдение требований таких
стандартов, как Payment Card Industry Data Security Standard (PCI DSS),
поскольку они требуют использовать для каждой цели отдельный сервер.
"Если у вас есть выбор, то я настоятельно рекомендую не использовать
вирутализацию для любых важных проектов.", - сказал ведущий специалист Internet
Security Systems. "Если вы сделаете ошибку, то пусть она лучше случится на менее
ценных системах".
Корман отметил, что несмотря на правильность подхода VMware к созданию
гипервизора, в результате которого он избавился от миллионов строк кода, снизив
тем самым риск наличия уязвимостей, такое решение имеет и обратную сторону, так
как в состав гипервизора не входят инструменты для шифрования. Это открывает
возможности для атак “man-in-the-middle”, таких как эксплоит
Xensploit,
позволяющий перехватывать незашифрованные данные при живой миграции виртуальных
машин с одного физического сервера на другой.
По мнению Кормана, виртуализация по умолчанию снижает уровень безопасности.
Впрочем, эксперт попутно выдал несколько ценных советов по защите систем. В
частности, он порекомендовал никогда не использовать "хостовые" гипервизоры (Тип
2), а работать лишь с гипервизорами первого типа (на "голом железе"). Кроме
того, он упомянул о необходимости установки средств безопасности на каждой
гостевой виртуальной машине и о своевременной установке патчей.
