英特爾高管:虛擬化省錢沒省心
虛擬化并不是一件容易的事情。安全問題使復(fù)雜的虛擬化過程更加困難。安全問題也是匆忙實施這種技術(shù)的企業(yè)經(jīng)常容易忽略的問題。
英特爾安全解決方案經(jīng)理Steve Orrin對那些正在打算部署虛擬化技術(shù)的人們提出了一些簡單而有用的忠告。他說,最開始的時候不要對高價值的重要任務(wù)的東西實施虛擬化。首先可以對一些值得投資的有價值的東西進行虛擬化,但是,這些東西并沒有重要到這種程度,以至于一旦中斷就會產(chǎn)生嚴(yán)重的問題。
Orrin補充說,由于有許多新的基礎(chǔ)設(shè)施,將會出現(xiàn)許多錯誤和挑戰(zhàn)。要學(xué)習(xí),并且把學(xué)到的東西應(yīng)用到高價值的系統(tǒng)中。
Orrin將在下個星期舉行的ISACA國際會議上發(fā)表一個題為“從虛擬化與安全到基于虛擬化的安全”的報告。這個報告的主題是安全應(yīng)該能夠幫助虛擬化的部署,而不是阻礙虛擬化的部署。
節(jié)省金錢但是沒有減少擔(dān)心
Orrin說,如果安全經(jīng)常是虛擬化部署中事后才想起的事情,這個原因也許是虛擬化的目標(biāo)單純地方在了節(jié)省成本方面,而沒有發(fā)揮虛擬化提供的日益增多的靈活性的優(yōu)勢。
Orrin指出,管理員應(yīng)該理解虛擬化對于他們意味著什么。在你走出一臺服務(wù)器僅運行一個應(yīng)用程序的世界的時候,可能會出現(xiàn)許多安全問題,還有許多像安全問題一樣難以解決的運營問題。
當(dāng)應(yīng)用程序從一臺服務(wù)器遷移到另一臺服務(wù)器,改變它們使用的資源,甚至改變它們的位置的時候,安全的要素變得更加復(fù)雜了。你對于不同的虛擬機需要不同水平的安全。人們從20臺服務(wù)器減少到一臺大型服務(wù)器,重要任務(wù)的應(yīng)用程序與實驗的應(yīng)用程序以及小型的IT和人力資源應(yīng)用程序都在同一臺機器上運行。一個安全政策如何覆蓋所有這些應(yīng)用程序?
Orrin說,但是,大多數(shù)部署比這種情況更復(fù)雜。在大多數(shù)機構(gòu),這不是20:1的整合。許多機構(gòu)在多個地方有多個數(shù)據(jù)中心,管理員還要整合數(shù)據(jù)中心。
缺乏安全政策
Orrin說,這個解決方案要有一個說明許多安全水平(可能是高、中和低級)的安全政策,并且逐步地實施虛擬化。如果做得好,就會得到遵守法規(guī)的益處。他說,我看到許多例子,人們發(fā)現(xiàn)很容易使用安全控制并且把這些措施報告給審計者。
但是,做得很好并不容易。有一個新的軟件層需要保證其安全。這個軟件層就是管理程序以及一個虛擬機管理器。虛擬化技術(shù)能夠幫忙。
Orrin說,VMsafe和類似于Xen的工具能夠讓你利用虛擬機管理器,這樣,一臺虛擬機就能夠為另一個虛擬機做殺毒的事情。這個目標(biāo)是利用你現(xiàn)有的安全機制并且讓這個安全機制熟悉虛擬化。
讓殺毒軟件屬性虛擬化是一件事情,讓防火墻熟悉虛擬化是一件更困難的事情。云計算中的防火墻不能運行同樣水平的保護,特別是如果管理程序運行虛擬機之間的通訊的話。
Orrin補充說,一些人對此做出的反應(yīng)是把所有的網(wǎng)絡(luò)通訊重新傳送到網(wǎng)絡(luò),而不允許虛擬機相互之間直接交換數(shù)據(jù)包。思科和瞻博網(wǎng)絡(luò)等一些廠商讓你那樣做,然而你那樣做就得不到虛擬化提供的效率優(yōu)勢。從效率的觀點看,虛擬設(shè)備有很大意義,但是,如果你同那些已經(jīng)建立虛擬設(shè)備的人們談?wù)撨@個事情,你會發(fā)現(xiàn)那里有一些局限性。
大型計算機能夠簡化虛擬化嗎?Orrin說,大型機是所有的虛擬化的祖先。IBM喜歡談?wù)撨@個事情。但是,如果你與大型機一起使用Linux或者Unix操作系統(tǒng),大型計算機擁有自己的接入控制和流程隔離設(shè)施,并且當(dāng)你設(shè)法將大型計算機與客戶機-服務(wù)器架構(gòu)以及VMware混合使用的時候,大型計算機會出現(xiàn)故障。
Orrin稱,他喜歡大型計算機的想法。他是主張使用大型計算機的人。他看到了大型計算機的魅力和力量。那不是Windows或者Unix服務(wù)器。他補充說,企業(yè)所有的重要任務(wù)軟件都放在大型計算機上的情況是很少的。這可能是虛擬化部署的一個有價值的部分。
Orrin指出,虛擬化的另一個關(guān)鍵問題是,在許多虛擬化部署中,通用的虛擬機模板存儲下來,然后根據(jù)需要復(fù)制和配置。人們根據(jù)一個黃金拷貝建立虛擬機。如果有人試圖攻擊這個黃金拷貝,他們就能夠根據(jù)每一個實例的情況破壞整個系統(tǒng)。安全軟件僅查看運行的東西,而黃金拷貝是不運行的。因此,你需要能夠調(diào)查這些黃金拷貝。一個休息的虛擬機是一個大型的ISO文件。
Orrin補充說,企業(yè)生產(chǎn)提供必要的安全保護的產(chǎn)品。他們提供在設(shè)置之前的改變控制與管理以及一個虛擬機的證明。在遷移期間,虛擬機在線路上能夠遭到攻擊。甚至還有虛擬機在兩臺服務(wù)器之間遷移的時候遭到攻擊的例子。這種攻擊改變轉(zhuǎn)送中的安全數(shù)據(jù)。因此,要保護虛擬機的完整性,他們必須要保證正在配置的虛擬機是原始的,也就是沒有修改過的虛擬機。
Orrin說,好消息是有許多工具和技術(shù)能夠解決這些問題。IT部門只需要使用合適的工具。
【編輯推薦】
