IT安全風(fēng)險專題：虛擬化基礎(chǔ)架構(gòu)安全

2虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告?調(diào)查對象包括來自全球超過25個國家的5500余家企業(yè)。?企業(yè)高層管理人員與IT專業(yè)人員接受了調(diào)查，回答了安全、IT威脅及基礎(chǔ)架構(gòu)相關(guān)的調(diào)查問題。調(diào)查發(fā)現(xiàn)：o萬美元。 (涉及虛擬化的情況下) (不涉及虛擬化的情況下)預(yù)計損失預(yù)計響應(yīng)成本預(yù)計損失53708201000020000300004000050000600007000080000o企業(yè)在安全修復(fù)方面的花費超過$800,000。 (涉及虛擬化的情況下) (不涉及虛擬化的情況下)預(yù)計損失預(yù)計響應(yīng)成本預(yù)計損失40558301000002000003000004000005000006000007000008000009000001000000?成本增加的三大原因：o安全的復(fù)雜性：僅有56%的受訪企業(yè)表示做好了應(yīng)對虛擬環(huán)境安全風(fēng)險的充分準備。o企業(yè)有必要加深對虛擬環(huán)境安全風(fēng)險的認識：僅有52%的受訪企業(yè)代表表示對風(fēng)險有充分的認識。o將虛擬設(shè)施廣泛應(yīng)用于關(guān)鍵任務(wù)操作。?62%的受訪企業(yè)正在使用某類虛擬基礎(chǔ)架構(gòu)。440%36%9%0%10%20%30%40%50%60%70%80%90%100%?有9%的受訪企業(yè)使用開源虛擬平臺：Xen(6%)與KVM(3%)。?42%的受訪企業(yè)仍認為虛擬環(huán)境比物理環(huán)境更為安全。?鮮少受訪企業(yè)采用專門的虛擬環(huán)境安全解決方案：o有73%的受訪企業(yè)未使用專門的IT安全解決方案。o有34%的受訪企業(yè)甚至尚未意識到使用安全解決方案的好處。000000000000000000040000000002000000虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告此次調(diào)查中，最有意思的發(fā)現(xiàn)是受訪企業(yè)所提供經(jīng)濟損失間的差異性。若企業(yè)的虛擬基礎(chǔ)架構(gòu)受到安全事故的影響，企業(yè)的安全事故修復(fù)成本會增加一倍。大型企業(yè) (員工多于1500人的企業(yè))修復(fù)一起安全事故的平均直接成本超過80萬美元。若將企業(yè)遭受攻擊后，進行員工培訓(xùn)以減輕日后風(fēng)險損失所產(chǎn)生的成本等間接成本也計算在內(nèi)，總修復(fù)成本將接近一百萬美元。預(yù)計損失預(yù)計響應(yīng)成本45140558348902企業(yè)預(yù)計總損失 (不涉及虛擬化的情況下)企業(yè)預(yù)計總損失 (涉及虛擬化的情況下)數(shù)據(jù)外泄對企業(yè)造成的總體經(jīng)濟損失(單位：美元)元。若虛擬基礎(chǔ)架構(gòu)受到安全事故的影響，企業(yè)的損失金額將增至約6萬美元(不含響應(yīng)成本)。000000040000000000預(yù)計損失預(yù)計損失7553中小型企業(yè)預(yù)計總損失 (不涉及虛擬化的情況下)中小型企業(yè)預(yù)計總損中小型企業(yè)預(yù)計總損失 (不涉及虛擬化的情況下)數(shù)據(jù)外泄對中小型企業(yè)造成的總體經(jīng)濟損失(單位：美元)4虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告為什么會產(chǎn)生這部分額外的修復(fù)成本？雖然我們可清楚地認識到虛擬環(huán)境的IT安全對許多企業(yè)而言都是一項復(fù)雜的工作(詳情見下文)，但主要原因在于虛擬基礎(chǔ)架構(gòu)更常被用于進行關(guān)鍵任務(wù)操作與/或儲存關(guān)鍵敏感的數(shù)據(jù)。以下對涉及/不涉及虛擬基礎(chǔ)架構(gòu)的安全事故后果的比較足以證明這一觀點。物理基礎(chǔ)架構(gòu)受到影響虛擬基礎(chǔ)架構(gòu)受到影響221%43%23%48%9%42%22%47%6%66%0%10%20%30%40%50%60%70%影響虛擬基礎(chǔ)架構(gòu)(藍色)與只影響了物理基礎(chǔ)架構(gòu)(紅色)的安全事故后果比較。企業(yè)虛擬環(huán)境遭受攻擊更易造成企業(yè)短時間內(nèi)無法獲取重要數(shù)據(jù)，喪失核心服務(wù)能力并使企業(yè)信譽受損。我們還發(fā)現(xiàn)，虛擬基礎(chǔ)架構(gòu)遭受到攻擊的企業(yè)在IT咨詢和法律服務(wù)方面支出的修復(fù)成本更高：物理基礎(chǔ)架構(gòu)受到影響虛擬基礎(chǔ)架構(gòu)受到影響33%33%58%%38%23%51%27%48%64%79%26%49%22%56%0%10%20%30%40%50%60%70%80%90%影響虛擬基礎(chǔ)架構(gòu)(藍色)與只影響了物理基礎(chǔ)架構(gòu)(紅色)的安全事故后果比較。5虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告40%50%虛擬基礎(chǔ)架構(gòu)及使用上述各類基礎(chǔ)架構(gòu)的企業(yè)所占比例基于KVM的商業(yè)平臺(如：RHEV)6% 基于KVM的商業(yè)平臺(如：RHEV)6% 6虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告據(jù)虛擬化專家(企業(yè)版虛擬化解決方案專家)表示，最受歡迎的虛擬機管理程序為VMware與Microsoft，KVM對用戶的吸引力也正逐漸增加。在企業(yè)的虛擬基礎(chǔ)架構(gòu)愿望清單中，(商業(yè)和開源)KVM是企業(yè)最期待使用的平臺之一。12%4%16%18%2%4%6%8%4%16%18%用的虛擬平臺超過三分之二的受訪者表示，他們在使用Microsoft和VMware的虛擬平臺。在企業(yè)近來希望選用的虛擬平臺排名中，微軟公司的Hyper-V位列第二。從這些數(shù)據(jù)中可看出，尤其是商業(yè)及免費開源平臺被提上日程后，KVM將有望成為目前市場領(lǐng)導(dǎo)者們最有力的競爭者。要保護物理端點與服務(wù)器的安全，企業(yè)需選擇一位安全軟件供應(yīng)商，但在實現(xiàn)虛擬桌面或服務(wù)器防護前，企業(yè)則必須先選擇一種安全解決方案。目前市場上主要有三種虛擬環(huán)境安全解決方案：?基于代理的安全解決方案：需在每臺虛擬機上安裝安全代理(這種安全解決方案有豐富的安?無代理模式安全解決方案：將虛擬機安裝在另一臺物理服務(wù)器上，通過專門的虛擬平臺界面有虛擬機的安全保護(這種安全解決方案資源占用量小，但功能與支持的平臺有限)。?輕代理模式安全解決方案：一種兩全其美的安全解決方案(相比無代理模式，這種安全解決方案功能豐富且對性能影響小)研究表明，很多公司并未真正意識到上述三類安全解決方案的差別。事實上，僅有27%的企業(yè)表示部署了專門用于虛擬環(huán)境防護的安全解決方案。7虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告全解決方案，且未意識到三類安全解決方案間的差別安全解決方案但意識到三類安全解決方案間的差別保護虛擬環(huán)境安全的反病毒軟件7%40%44%8%2%0%20%40%60%80%100%在使用專門的安全解決方案的受訪企業(yè)中，多數(shù)企業(yè)仍在使用會影響集成比例與虛擬化性能的基于代理的安全軟件。90%80%70%60%50%40%30%20%%44%13%15%47%26%35%55%48%47%4%6%總體服務(wù)器虛擬化總體基于代理的虛擬端點安全軟件無代理模式虛擬端點安全軟件輕代理模式虛擬端點安全軟件確定8虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告更多的企業(yè)則未使用任何虛擬化安全解決方案。其中，僅有31%的企業(yè)在使用傳統(tǒng)的安全解決方案過程中未曾遇到過任何安全問題。12%虛擬化安全解決方愿意購買專門的不相信專門的安計劃安裝專為虛擬使用傳統(tǒng)解決方案在使用傳統(tǒng)的安案不具備傳統(tǒng)安全安全解決方案，全解決方案性能環(huán)境研發(fā)的安全解在虛擬環(huán)境中遇到全解決方案過程解決方案所具備的但支付不起購買明顯優(yōu)于傳統(tǒng)解決方案或正對此進的都是小安全問題，中未曾遇到過任部分功能。費用。決方案。無需購買新安全解決方案何安全問題。的確，在多數(shù)情況下，傳統(tǒng)的安全解決方案可用于虛擬環(huán)境防護。但在多臺虛擬機上進行部署時，會稍稍影響物理端點的性能，這又被稱之為性能代償，從而大幅降低成本效能。而這也印證了為什么影響虛擬基礎(chǔ)架構(gòu)的攻擊造成的損失會是僅影響物理端點與服務(wù)器的攻擊的兩倍。我們由此可得出如下結(jié)論：IT威脅是影響虛擬基礎(chǔ)架構(gòu)總擁有成本(TCO)的重要因素。一起安全事故，甚至是選擇錯誤的安全解決方案都可讓實現(xiàn)虛擬化的預(yù)計成本效能化為烏有。僅有53%的受訪企業(yè)對虛擬環(huán)境防護表示擔(dān)憂，只有半數(shù)受訪者表示對會影響企業(yè)虛擬機管理程序的安全風(fēng)險有深入的認識。同時，有56%的受訪者認為他們已做好了減輕與應(yīng)對相關(guān)威脅的充分準備，但這可能只是一種因受到誤導(dǎo)而產(chǎn)生的錯誤認知。虛擬環(huán)境中存在的安全風(fēng)險遠少于物理環(huán)境中存在的安全風(fēng)險。我們需花費大量的時間精力對安裝在各個虛擬環(huán)境中的安全解決方案進行管理。我對會影響企業(yè)現(xiàn)正使用的虛擬機管理程序的安全風(fēng)險有深入的認識。總體而言，我對虛擬環(huán)境的安全甚為擔(dān)憂。我們已做好了減輕與應(yīng)對虛擬基礎(chǔ)架構(gòu)安全風(fēng)險的充分準備。2%5%0%10%20%30%40%50%60%許多虛擬環(huán)境防護相關(guān)問題產(chǎn)生的根本原因都在于過時的錯誤觀念——認為虛擬環(huán)境中存在的安全風(fēng)險遠少于物理環(huán)境中存在的安全風(fēng)險。42%的受訪者仍然相信這種錯誤的觀點。9虛擬基礎(chǔ)架構(gòu)安全IT安全風(fēng)險專題系列報告正如我們在調(diào)查中所發(fā)現(xiàn)，企業(yè)對使用虛擬基礎(chǔ)架構(gòu)抱有積極的態(tài)度。但行業(yè)對這項技術(shù)，尤其是虛擬環(huán)境的安全問題卻明顯不足。虛擬環(huán)境較之物理服務(wù)器更加安全可靠，在殘酷的安全環(huán)境中，并沒有什么是絕對安全可靠的。虛擬基礎(chǔ)架構(gòu)會增加漏洞修復(fù)成本，影響所部署的安全解決方案的效能。相反，不合理的決策也會影響投資回報(ROI)，導(dǎo)致實現(xiàn)虛擬化的預(yù)期成效無法在日后得以實現(xiàn)，甚至?xí)屇X得虛擬基礎(chǔ)架構(gòu)不值一試。模企業(yè)的IT專家進行了調(diào)查，其中包括3465位小微企業(yè)(員工人數(shù)不超過250人)IT專家代表，1074名中型企業(yè)(員工人數(shù)介于251-1499人)IT專家代表以及1025位大型企業(yè)(員工人數(shù)超過1500人)IT專家代表。但該份報告主要列載了與虛擬技術(shù)用戶(62%)相關(guān)的調(diào)查問題。我們在35個國家展開了這項調(diào)查，包括巴西、中國、法國、德國、印度、意大利、日本、俄羅斯、西班牙、英國、美國、墨西哥、沙特阿拉伯、南非、土耳其、阿拉伯聯(lián)合酋長國 (阿聯(lián)酋)、澳大利亞、加拿大、印度尼西亞、馬來西亞、新加坡、智利、哥倫比亞、捷克共和國、希臘、匈牙利、哈薩