虛擬化部署如何克服關于安全的反對意見
適當的規劃,包括安全設施的規劃,將使您在部署虛擬化和確保業務連續性和保護企業數據中獲得收益。
在當前艱難的大環境下,關于通過部署虛擬化來實現潛在的節約成本的承諾絕對是不容忽視的。IT團隊理解的概念是通過鞏固虛擬化部署取得更好的硬件利用率、增加靈活性、提高管理能力。然而,在許多情況下,虛擬環境的項目的障礙往往只有網絡和數據安全問題才會引起關注。在一個新的環境中,安全問題始終是一個重要的考慮因素,但虛擬化的安全問題往往由于缺乏知識或參與虛擬化項目而遭到反對。通過適當的規劃和參與部署,關于安全問題的反對意見可以被轉移消化。
一個爭論最為激烈的話題來自hypervisor的escape命令。在這種情況下,有可能從一個單一的已經受損的虛擬機直接攻擊hypervisor。如果成功的話,攻擊者將可以在所有的虛擬機上運行該服務器。
今天,這種類型的攻擊僅僅是理論上的,但考慮到虛擬軟件始終有其缺陷,故這種攻擊理論是合理的。然而,作為一種反對虛擬化的觀點,保證這種現象永遠不會發生的可能性相對較低。攻擊可在數據中心、亦或虛擬化設備。這些更可能由于缺少操作系統補丁,來自簡單的錯誤或接觸,而不是通過一次成功的hypervisor escape命令。
理論上的escape命令不需要使用相同的標準和數據業務臨界敏感性界定安全問題的最佳做法來盡量減少虛擬網絡。換言之,虛擬化并不能自動等同于“把所有的雞蛋放在一個籃子里。”正確的分割,一方面結合物理和虛擬分割,能產生固體區分割關鍵工作量。虛擬的網絡分割允許部署不同的敏感性程度的訪客共享基礎設施,執行政策分割(無需物理硬件),同時還可以更好地利用計算機的資源共享。
今天,虛擬分割可以通過一系列的虛擬安全設備來實現,區別更多的是他們的管理辦法和用戶界面而非實施分割的技術。VMware公司即將推出的VMsafe API使安全廠商提供的產品能以更優化的方式分割和保護網絡。想象一下,全面的網絡政策必將給客戶全新的書寫功能,并且不論虛擬基礎設施的地點強制執行。良好的分割網絡將有助于防止今天的現實威脅和明天的理論威脅。
另一個主要的反對意見也是關于虛擬化的優勢:靈活性。虛擬數據中心是一個充滿活力的環境。它提供了方便的虛擬機部署和轉化為一種環境的配置變化,能夠快速適應業務需求。在一個虛擬數據中心,管理員可以很輕松的部署和克隆的虛擬機,遷移客戶到其他服務器,并改變資源(CPU、內存、硬盤)。另一方面,這樣的環境下,惡意或意外的行動可以產生深遠的影響和潛在的破壞性后果。動態和迅速變化可能導致風險增加,無法跟蹤虛擬機(如虛擬擴張),或防范業務政策的行為。
例如,在簡單的情況下發生意外的錯誤,一個重要的Web服務器的網絡接口通過改變一個VLAN的ID和連接丟失映射到錯誤的物理網絡。確定這個簡單錯誤的根源可能非常費時。大量的管理人員,沒有實際的電纜追查,成千上萬的訪客和許多同樣名的虛擬網絡,要發現違規的配置并將其更改成為虛擬機,就如同大海撈針一樣。
遏制不斷變化的環境的最有效的方式是通過加強現有的業務政策,提供更深入地了解虛擬和物理網絡。經驗豐富的IT專業人士都知道,政策是唯一和制定好的規則一樣有效的措施。
為了確保政策得到執行,部署相關的工具,可以監視,跟蹤和審計虛擬環境的部署。然而,要真正有效,這些工具還必須提供可視化,同時“跟蹤”需要了解虛擬機如何以及在何處正在部署。他們必須建立一個審計證據的記錄:關于誰管理這些機器和對虛擬機和虛擬基礎設施執行了那些變化。有了這樣的審計工具的情況下,由簡單的配置錯誤所造成的停電,以及上文所述的問題都可追溯,并迅速糾正了。
最后一個反對部署虛擬化的安全問題源于信息安全部門在規劃虛擬化部署時缺乏列入或審議。所以在一開始討論部署時就讓這些反對者參與討論是至關重要的。在許多情況下,反對者是由于對虛擬化和可用的選項了解有限。
情況可能會被現有的網絡安全性和可視性的工具不能提供虛擬網絡同樣的詳細資料變得復雜。在傳統情況下,非虛擬的網絡有可能采取服務器清單、追查電纜并使用基于網絡的工具,以發現網絡和服務器。一旦實現虛擬化,大部分的功能會喪失。虛擬化使得建立網絡的現有工具有可能根本無法看到。
虛擬安全設備提供網絡級的情報可以填補遺產工具留下的空白。虛擬化的另一個好處是使這些設備提供高度準確的網絡地圖和客戶訪問記錄,而不采用被動網絡發現方法。有了合適的工具,實際上可以在虛擬環境更有效地實現可視化和庫存準確性。
雖然hypervisor的供應商可以提供一些基本的可視化管理工具,這些工具是專為虛擬管理員設計的,這些工具可以提供對整個環境和目前的安全現狀的整體可視性控制,在這方面將確定安全維護團隊需要履行的職責,保護他們的基礎設施。
一個簡單的教訓是,虛擬化像任何新技術一樣,將受到自身安全性的挑戰。但是,通過適當的規劃和協調一致的努力,使安全問題成為規劃過程的一部分,將有可能從虛擬化的部署中獲益,以確保業務的連續性并保護企業數據。
【編輯推薦】
