適當(dāng)?shù)囊?guī)劃，包括安全設(shè)施的規(guī)劃，將使您在部署虛擬化和確保業(yè)務(wù)連續(xù)性和保護企業(yè)數(shù)據(jù)中獲得收益。

在當(dāng)前艱難的大環(huán)境下，關(guān)于通過部署虛擬化來實現(xiàn)潛在的節(jié)約成本的承諾絕對是不容忽視的。IT團隊理解的概念是通過鞏固虛擬化部署取得更好的硬件利用率、增加靈活性、提高管理能力。然而，在許多情況下，虛擬環(huán)境的項目的障礙往往只有網(wǎng)絡(luò)和數(shù)據(jù)安全問題才會引起關(guān)注。在一個新的環(huán)境中，安全問題始終是一個重要的考慮因素，但虛擬化的安全問題往往由于缺乏知識或參與虛擬化項目而遭到反對。通過適當(dāng)?shù)囊?guī)劃和參與部署，關(guān)于安全問題的反對意見可以被轉(zhuǎn)移消化。

一個爭論最為激烈的話題來自hypervisor的escape命令。在這種情況下，有可能從一個單一的已經(jīng)受損的虛擬機直接攻擊hypervisor。如果成功的話，攻擊者將可以在所有的虛擬機上運行該服務(wù)器。

今天，這種類型的攻擊僅僅是理論上的，但考慮到虛擬軟件始終有其缺陷，故這種攻擊理論是合理的。然而，作為一種反對虛擬化的觀點，保證這種現(xiàn)象永遠不會發(fā)生的可能性相對較低。攻擊可在數(shù)據(jù)中心、亦或虛擬化設(shè)備。這些更可能由于缺少操作系統(tǒng)補丁，來自簡單的錯誤或接觸，而不是通過一次成功的hypervisor escape命令。

理論上的escape命令不需要使用相同的標(biāo)準和數(shù)據(jù)業(yè)務(wù)臨界敏感性界定安全問題的最佳做法來盡量減少虛擬網(wǎng)絡(luò)。換言之，虛擬化并不能自動等同于“把所有的雞蛋放在一個籃子里?！闭_的分割，一方面結(jié)合物理和虛擬分割，能產(chǎn)生固體區(qū)分割關(guān)鍵工作量。虛擬的網(wǎng)絡(luò)分割允許部署不同的敏感性程度的訪客共享基礎(chǔ)設(shè)施，執(zhí)行政策分割(無需物理硬件)，同時還可以更好地利用計算機的資源共享。

今天，虛擬分割可以通過一系列的虛擬安全設(shè)備來實現(xiàn)，區(qū)別更多的是他們的管理辦法和用戶界面而非實施分割的技術(shù)。VMware公司即將推出的VMsafe API使安全廠商提供的產(chǎn)品能以更優(yōu)化的方式分割和保護網(wǎng)絡(luò)。想象一下，全面的網(wǎng)絡(luò)政策必將給客戶全新的書寫功能，并且不論虛擬基礎(chǔ)設(shè)施的地點強制執(zhí)行。良好的分割網(wǎng)絡(luò)將有助于防止今天的現(xiàn)實威脅和明天的理論威脅。

另一個主要的反對意見也是關(guān)于虛擬化的優(yōu)勢：靈活性。虛擬數(shù)據(jù)中心是一個充滿活力的環(huán)境。它提供了方便的虛擬機部署和轉(zhuǎn)化為一種環(huán)境的配置變化，能夠快速適應(yīng)業(yè)務(wù)需求。在一個虛擬數(shù)據(jù)中心，管理員可以很輕松的部署和克隆的虛擬機，遷移客戶到其他服務(wù)器，并改變資源(CPU、內(nèi)存、硬盤)。另一方面，這樣的環(huán)境下，惡意或意外的行動可以產(chǎn)生深遠的影響和潛在的破壞性后果。動態(tài)和迅速變化可能導(dǎo)致風(fēng)險增加，無法跟蹤虛擬機(如虛擬擴張)，或防范業(yè)務(wù)政策的行為。

例如，在簡單的情況下發(fā)生意外的錯誤，一個重要的Web服務(wù)器的網(wǎng)絡(luò)接口通過改變一個VLAN的ID和連接丟失映射到錯誤的物理網(wǎng)絡(luò)。確定這個簡單錯誤的根源可能非常費時。大量的管理人員，沒有實際的電纜追查，成千上萬的訪客和許多同樣名的虛擬網(wǎng)絡(luò)，要發(fā)現(xiàn)違規(guī)的配置并將其更改成為虛擬機，就如同大海撈針一樣。

遏制不斷變化的環(huán)境的最有效的方式是通過加強現(xiàn)有的業(yè)務(wù)政策，提供更深入地了解虛擬和物理網(wǎng)絡(luò)。經(jīng)驗豐富的IT專業(yè)人士都知道，政策是唯一和制定好的規(guī)則一樣有效的措施。

為了確保政策得到執(zhí)行，部署相關(guān)的工具，可以監(jiān)視，跟蹤和審計虛擬環(huán)境的部署。然而，要真正有效，這些工具還必須提供可視化，同時“跟蹤”需要了解虛擬機如何以及在何處正在部署。他們必須建立一個審計證據(jù)的記錄：關(guān)于誰管理這些機器和對虛擬機和虛擬基礎(chǔ)設(shè)施執(zhí)行了那些變化。有了這樣的審計工具的情況下，由簡單的配置錯誤所造成的停電，以及上文所述的問題都可追溯，并迅速糾正了。

最后一個反對部署虛擬化的安全問題源于信息安全部門在規(guī)劃虛擬化部署時缺乏列入或?qū)徸h。所以在一開始討論部署時就讓這些反對者參與討論是至關(guān)重要的。在許多情況下，反對者是由于對虛擬化和可用的選項了解有限。

情況可能會被現(xiàn)有的網(wǎng)絡(luò)安全性和可視性的工具不能提供虛擬網(wǎng)絡(luò)同樣的詳細資料變得復(fù)雜。在傳統(tǒng)情況下，非虛擬的網(wǎng)絡(luò)有可能采取服務(wù)器清單、追查電纜并使用基于網(wǎng)絡(luò)的工具，以發(fā)現(xiàn)網(wǎng)絡(luò)和服務(wù)器。一旦實現(xiàn)虛擬化，大部分的功能會喪失。虛擬化使得建立網(wǎng)絡(luò)的現(xiàn)有工具有可能根本無法看到。

虛擬安全設(shè)備提供網(wǎng)絡(luò)級的情報可以填補遺產(chǎn)工具留下的空白。虛擬化的另一個好處是使這些設(shè)備提供高度準確的網(wǎng)絡(luò)地圖和客戶訪問記錄，而不采用被動網(wǎng)絡(luò)發(fā)現(xiàn)方法。有了合適的工具，實際上可以在虛擬環(huán)境更有效地實現(xiàn)可視化和庫存準確性。

雖然hypervisor的供應(yīng)商可以提供一些基本的可視化管理工具，這些工具是專為虛擬管理員設(shè)計的，這些工具可以提供對整個環(huán)境和目前的安全現(xiàn)狀的整體可視性控制，在這方面將確定安全維護團隊需要履行的職責(zé)，保護他們的基礎(chǔ)設(shè)施。

一個簡單的教訓(xùn)是，虛擬化像任何新技術(shù)一樣，將受到自身安全性的挑戰(zhàn)。但是，通過適當(dāng)?shù)囊?guī)劃和協(xié)調(diào)一致的努力，使安全問題成為規(guī)劃過程的一部分，將有可能從虛擬化的部署中獲益，以確保業(yè)務(wù)的連續(xù)性并保護企業(yè)數(shù)據(jù)。

【編輯推薦】

1. CIO五項注意 不要給虛擬化留下安全漏洞!
2. SVM5：存儲虛擬化的新強者
3. 大幅節(jié)約成本 桌面虛擬化必將普及