Xen教父：虛擬化控制著公共云的安全性

　　雖然傳統(tǒng)觀點認為，虛擬化環(huán)境和公共云在安全方面帶來了眾多的棘手問題，但是有Xen教父之稱的Simon Crosby表示，虛擬化其實擁有提高安全性的法寶。

　　Crosby是Xen這款開源虛擬機管理程序的開發(fā)者，也是新興公司Bromium的創(chuàng)始人，這家公司希望利用Xen的功能特性來提高安全性。他表示，隔離功能(限制哪些計算任務在給定環(huán)境中運行的功能)是虛擬化技術的一個基本特點，可以利用這個功能來增強物理系統(tǒng)上進程的可信性，即便其他進程的安全已受到了危及。

　　Crosby在接受《Network World》雜志采訪時表示，如果虛擬機管理程序(hypervisor)能夠幫助隔離在系統(tǒng)上執(zhí)行的諸多功能，因而減小成功破壞某一種功能的攻擊擴散開來的風險，這就能增強其他那些進程的可信性。

　　Crosby說：“我認為，如果五年后我們回顧一下，其實會弄明白硬件虛擬化的核心價值在于安全性方面。實際上，其核心價值在于提高可信性或加強隔離，而不是我們現在為虛擬化技術提出來的各種夸大其詞的好處。所以五年左右過后，即使在云計算.環(huán)境，虛擬化的主要用途還是在于安全，即通過隔離功能提高安全性。”

　　Crosby不愿細述這樣一種系統(tǒng)的工作原理是怎樣，因為這正是Bromium所開展業(yè)務的核心；該公司并沒有打算在明年之前透露這方面的細節(jié)。但是在今年早些時候的Xen開發(fā)者大會上，Bromium聯合創(chuàng)始人兼Xen.org主席Ian Pratt發(fā)表了一些真知灼見。

　　他表示，如果反省一下，Xen讓虛擬機能夠被另一個可信的虛擬機來檢查的這項功能也許有助于發(fā)現虛擬機里面的安全隱患。Pratt表示，Xen可以隔離驅動程序域，這就能增強安全性。

　　Crosby表示，這種隔離類似XenClient現在提供的隔離技術；比如說，讓企業(yè)桌面和個人桌面能夠同時在同一個機器上運行，并且確保各自的活動相互獨立、安全。某人對機器作出了可能有危險的個人行為，但不會危及企業(yè)桌面的功能。

　　他說：“我想要竭力表明的一個主要觀點是，普通虛擬化技術通過隔離功能可以為你提供一個不同的環(huán)境，你可以在里面執(zhí)行不同信任級別的代碼。”

　　他表示，更細化地隔離進程可以提高公共云環(huán)境的安全性。他說：“我認為，將來可以創(chuàng)建高度安全的云體系，該云體系可以用來提供多層次的安全系統(tǒng)。”

　　他舉例時提到了英特爾和邁克菲攜手開發(fā)的DeepSAFE技術，該軟件位于設備上的處理器與操作系統(tǒng)之間，其工作方式酷似裸機(類型1)虛擬機管理程序。據邁克菲聲稱，該軟件與硬件直接聯系起來，這為它賦予了可信性，得以洞察機器操作系統(tǒng)所看不到的事件。

　　Crosby說：“英特爾最近宣布與邁克菲共同開發(fā)出了Deep Safe技術，這是類型1虛擬機管理程序，它的唯一用途就是為運行時環(huán)境確保安全。所以，你會開始看到虛擬化技術給客戶端帶來安全。我認為，最終服務器系統(tǒng)上也會出現同樣一幕。顯然，你要讓服務器虛擬機管理程序學習新的東西。”

　　他似乎認為，將虛擬機管理程序與集成到大眾化處理器里面的可信平臺模塊(TPM)結合起來有助于加強安全性。TPM的功能包括：儲存加密密鑰以及硬件輔助加密，這樣就有可能對公司企業(yè)交給公共云的所有數據進行加密。

　　Crosby說：“你可以高速加密數據，云服務提供商管理密鑰是毫無理由的。所以，應該會出現的一幕是，當你在云環(huán)境中運行應用程序時，應該為它提供密鑰。只有在運行中應用程序的環(huán)境下，當數據離開某個存儲服務環(huán)境時，數據才被解密，然后在向外發(fā)送時重新實時加密。那樣一來，要是有人破解了云服務提供商的接口，或者有人步入云服務提供商的場地后帶走了硬盤，那么你也沒有什么關系，因為數據已經過了加密。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]