虛擬化部署安全問題不容忽視
英特爾公司安全解決方案總監Steve Orrin對于規劃虛擬化配置有著簡單而實用的建議。他表示"不要一開始就急于去追逐那些高價值和承擔關鍵任務的領域。要從有投資價值而不是那么關鍵的領域開始著手,否則一旦出現問題就是很嚴重的后果",虛擬化部署安全問題不容忽視。
"對于任何新興的基礎架構,都存在著錯誤和挑戰。學習,然后將學到的知識和經驗應用到高價值系統中去"Orrin補充說。
省錢但不要走捷徑
根據Orrin的說法,如果安全在這些配置中經常是事后才去考慮的問題,這可能是因為企業用戶過于追求成本節約的效應,而不是利用虛擬化所能提供的靈活性優勢。"管理者必須完全理解虛擬化對他們意味著什么"Orrin強調說"這里有著安全的考慮,運作問題和安全一樣棘手,當你嘗試將你熟悉的物理世界向虛擬領域遷移時,問題就出現了"。
當應用軟件在服務器之間進行遷移,改變他們使用的資源甚至他們存儲的位置時,安全問題變得更加復雜。Orrin解釋說"針對不同的虛擬機你需要不同級別的安全設置。人們從20臺設備整合為一臺大型的設備,目前關鍵任務應用軟件與測試應用軟件和人力資源軟件等一起在同一個設備上運行。一種安全協議如何涵蓋所有的方面?"。
現實中多數配置比這個要復雜的多。Orrin表示"在多數企業中,整合的比例遠不止20:1。一些企業有很多數據中心分布在不同地點,管理者也希望能對數據中心進行整合"。
沒有一種安全協議
Orrin表示,解決方案是設置一種涵蓋多種級別安全的安全協議(設定低,中,高的安全級別),循序漸進的部署虛擬化。如果這部分進展順利,就會帶來法規遵從的好處。Orrin表示"我見證過很多實例,人們發現應用安全控制并把它們反饋給審計人員要簡單的多"。但是要把這個過程做好也并不容易。有一種新的軟件層,管理程序外加虛擬機管理器都需要安全保護。虛擬化技術能有所幫助。
Orrin表示"VMsafe和Xen中類似的工具能幫助你調整虛擬機管理器,以便一個虛擬機能為其他虛擬機做殺毒工作。我們的目標就是利用用戶現有的安全機制,讓它與虛擬化技術相結合"。讓現有的安全機制與虛擬化相結合以一方面;讓防火墻與虛擬化相結合就難度更大。Orrin介紹說"云上的防火墻不能達到同種級別的保護效果,特別是如果管理程序是在虛擬機之間擔當互聯的話"。
種種原因告訴我們虛擬化部署安全問題不容忽視。
【編輯推薦】
