48%的企业怀疑虚拟化服务器存在非法访问问题

Varonis所进行的一项研究发现，虚拟环境中的安全常常被IT组织所忽略，有48%的受访组织报告或怀疑有对其虚拟化服务器上文件的未授权访问。这次在VM World大会上现场进行的调查表明，在涉及虚拟服务器时，IT组织的安全意识是相当有限的，约70%的受访者很少或者根本没有对虚拟服务器做过审核。

根据Gartner的统计，到目前为止，在服务器上已安装的虚机超过了5000万个。与此相一致的是，几乎所有的受访组织(87%)已将其应用服务器虚拟化，主要是为了加速部署(76%)和灾难恢复(74%)。另一方面，没有虚拟化的组织列举出的三大理由是磁盘存储(37%)、性能(30%)以及缺乏优势(20%)。

在不同规模的企业里，有一个领域显然是被很多组织所忽略的，那就是文件安全。虽然有几乎60%的组织称它们在文件访问权限、控制后续升级方面做了设置，但也有70%的组织很少这么做或根本没做——即便是在高端企业中也是如此。事实上，有20%员工超过5000人的企业承认，它们没有设置文件注册访问功能。

有48%的组织报告或者怀疑有对其虚拟服务器上文件的未授权访问，这一情形更加暴露出安全问题的严重性——让企业的敏感信息处于可能被滥用、丢失或被盗的风险中。更令人吃惊的是，即便是那些对所有活动进行审核的组织中，也有高达68%的组织认为，它们那里也存在未授权访问的问题。

“我们向IT部门提出了疑问，认为虚拟化可能是某个类似黑箱的东西。我们发现，在某个工作负载被虚拟化之后，管理文件权限和对其加以访问监控的细节呗想当然地认为应该是系统自动进行的。同样有可能的是，管理虚拟化项目的各团队会认为文件的安全治理工作应该是他们部门之外的人负责的，与他们无关。而安全团队则看不到正在发生的一切，”Varonis的战略副总裁David Gibson说。

调查报告建议，虽然虚拟化是允许IT隔离应用和服务的开创性的方法，但它却并未解决权限管理和访问审核的问题——实际上它甚至可能让这些问题变得更加复杂了。

“很显然，数据保护需要在虚拟环境中维持与现实环境中相同的警戒水平——甚至可能应该对管理在单一的箱子上的多个操作系统的复杂问题予以更多的关注。对于组织来说，在这方面进行更深入的IT教育，保护其宝贵的数字资产是生死攸关的，一方面需要培训其人员了解虚拟文件系统，另一方面则需要有效地使用自动化工具发现各类安全漏洞，监控各种行为，并控制好各种权限，”Gibson说。