Виртуализация не готова к использованию в критически важных приложениях
22.05.2009
Как заявил на этой неделе в ходе конференции Interop Las Vegas эксперт IBMДжошуа Корман, виртуализация архитектуры X86 пока не готова к использованию в критически-важных регламентированных приложениях.
Он подчеркнул, что помимо угроз собственно гипервизору и контролируемым им машинам, виртуализация делает проблематичным соблюдение требований таких стандартов, как Payment Card Industry Data Security Standard (PCI DSS), поскольку они требуют использовать для каждой цели отдельный сервер.
"Если у вас есть выбор, то я настоятельно рекомендую не использовать вирутализацию для любых важных проектов.", - сказал ведущий специалист Internet Security Systems. "Если вы сделаете ошибку, то пусть она лучше случится на менее ценных системах".
Корман отметил, что несмотря на правильность подхода VMware к созданию гипервизора, в результате которого он избавился от миллионов строк кода, снизив тем самым риск наличия уязвимостей, такое решение имеет и обратную сторону, так как в состав гипервизора не входят инструменты для шифрования. Это открывает возможности для атак "man-in-the-middle", таких как эксплоит Xensploit, позволяющий перехватывать незашифрованные данные при живой миграции виртуальных машин с одного физического сервера на другой.
По мнению Кормана, виртуализация по умолчанию снижает уровень безопасности. Впрочем, эксперт попутно выдал несколько ценных советов по защите систем. В частности, он порекомендовал никогда не использовать "хостовые" гипервизоры (Тип 2), а работать лишь с гипервизорами первого типа (на "голом железе"). Кроме того, он упомянул о необходимости установки средств безопасности на каждой гостевой виртуальной машине и о своевременной установке патчей.
