虛擬化并不是一件容易的事情。安全問題使復(fù)雜的虛擬化過程更加困難。安全問題也是匆忙實(shí)施這種技術(shù)的企業(yè)經(jīng)常容易忽略的問題。

英特爾安全解決方案經(jīng)理Steve Orrin對(duì)那些正在打算部署虛擬化技術(shù)的人們提出了一些簡(jiǎn)單而有用的忠告。他說，最開始的時(shí)候不要對(duì)高價(jià)值的重要任務(wù)的東西實(shí)施虛擬化。首先可以對(duì)一些值得投資的有價(jià)值的東西進(jìn)行虛擬化，但是，這些東西并沒有重要到這種程度，以至于一旦中斷就會(huì)產(chǎn)生嚴(yán)重的問題。

Orrin補(bǔ)充說，由于有許多新的基礎(chǔ)設(shè)施，將會(huì)出現(xiàn)許多錯(cuò)誤和挑戰(zhàn)。要學(xué)習(xí)，并且把學(xué)到的東西應(yīng)用到高價(jià)值的系統(tǒng)中。

Orrin將在下個(gè)星期舉行的ISACA國(guó)際會(huì)議上發(fā)表一個(gè)題為“從虛擬化與安全到基于虛擬化的安全”的報(bào)告。這個(gè)報(bào)告的主題是安全應(yīng)該能夠幫助虛擬化的部署，而不是阻礙虛擬化的部署。

節(jié)省金錢但是沒有減少擔(dān)心

Orrin說，如果安全經(jīng)常是虛擬化部署中事后才想起的事情，這個(gè)原因也許是虛擬化的目標(biāo)單純地方在了節(jié)省成本方面，而沒有發(fā)揮虛擬化提供的日益增多的靈活性的優(yōu)勢(shì)。

Orrin指出，管理員應(yīng)該理解虛擬化對(duì)于他們意味著什么。在你走出一臺(tái)服務(wù)器僅運(yùn)行一個(gè)應(yīng)用程序的世界的時(shí)候，可能會(huì)出現(xiàn)許多安全問題，還有許多像安全問題一樣難以解決的運(yùn)營(yíng)問題。

當(dāng)應(yīng)用程序從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器，改變它們使用的資源，甚至改變它們的位置的時(shí)候，安全的要素變得更加復(fù)雜了。你對(duì)于不同的虛擬機(jī)需要不同水平的安全。人們從20臺(tái)服務(wù)器減少到一臺(tái)大型服務(wù)器，重要任務(wù)的應(yīng)用程序與實(shí)驗(yàn)的應(yīng)用程序以及小型的IT和人力資源應(yīng)用程序都在同一臺(tái)機(jī)器上運(yùn)行。一個(gè)安全政策如何覆蓋所有這些應(yīng)用程序?

Orrin說，但是，大多數(shù)部署比這種情況更復(fù)雜。在大多數(shù)機(jī)構(gòu)，這不是20:1的整合。許多機(jī)構(gòu)在多個(gè)地方有多個(gè)數(shù)據(jù)中心，管理員還要整合數(shù)據(jù)中心。

缺乏安全政策

Orrin說，這個(gè)解決方案要有一個(gè)說明許多安全水平(可能是高、中和低級(jí))的安全政策，并且逐步地實(shí)施虛擬化。如果做得好，就會(huì)得到遵守法規(guī)的益處。他說，我看到許多例子，人們發(fā)現(xiàn)很容易使用安全控制并且把這些措施報(bào)告給審計(jì)者。

但是，做得很好并不容易。有一個(gè)新的軟件層需要保證其安全。這個(gè)軟件層就是管理程序以及一個(gè)虛擬機(jī)管理器。虛擬化技術(shù)能夠幫忙。

Orrin說，VMsafe和類似于Xen的工具能夠讓你利用虛擬機(jī)管理器，這樣，一臺(tái)虛擬機(jī)就能夠?yàn)榱硪粋€(gè)虛擬機(jī)做殺毒的事情。這個(gè)目標(biāo)是利用你現(xiàn)有的安全機(jī)制并且讓這個(gè)安全機(jī)制熟悉虛擬化。

讓殺毒軟件屬性虛擬化是一件事情，讓防火墻熟悉虛擬化是一件更困難的事情。云計(jì)算中的防火墻不能運(yùn)行同樣水平的保護(hù)，特別是如果管理程序運(yùn)行虛擬機(jī)之間的通訊的話。

Orrin補(bǔ)充說，一些人對(duì)此做出的反應(yīng)是把所有的網(wǎng)絡(luò)通訊重新傳送到網(wǎng)絡(luò)，而不允許虛擬機(jī)相互之間直接交換數(shù)據(jù)包。思科和瞻博網(wǎng)絡(luò)等一些廠商讓你那樣做，然而你那樣做就得不到虛擬化提供的效率優(yōu)勢(shì)。從效率的觀點(diǎn)看，虛擬設(shè)備有很大意義，但是，如果你同那些已經(jīng)建立虛擬設(shè)備的人們談?wù)撨@個(gè)事情，你會(huì)發(fā)現(xiàn)那里有一些局限性。

大型計(jì)算機(jī)能夠簡(jiǎn)化虛擬化嗎?Orrin說，大型機(jī)是所有的虛擬化的祖先。IBM喜歡談?wù)撨@個(gè)事情。但是，如果你與大型機(jī)一起使用Linux或者Unix操作系統(tǒng)，大型計(jì)算機(jī)擁有自己的接入控制和流程隔離設(shè)施，并且當(dāng)你設(shè)法將大型計(jì)算機(jī)與客戶機(jī)-服務(wù)器架構(gòu)以及VMware混合使用的時(shí)候，大型計(jì)算機(jī)會(huì)出現(xiàn)故障。

Orrin稱，他喜歡大型計(jì)算機(jī)的想法。他是主張使用大型計(jì)算機(jī)的人。他看到了大型計(jì)算機(jī)的魅力和力量。那不是Windows或者Unix服務(wù)器。他補(bǔ)充說，企業(yè)所有的重要任務(wù)軟件都放在大型計(jì)算機(jī)上的情況是很少的。這可能是虛擬化部署的一個(gè)有價(jià)值的部分。

Orrin指出，虛擬化的另一個(gè)關(guān)鍵問題是，在許多虛擬化部署中，通用的虛擬機(jī)模板存儲(chǔ)下來，然后根據(jù)需要復(fù)制和配置。人們根據(jù)一個(gè)黃金拷貝建立虛擬機(jī)。如果有人試圖攻擊這個(gè)黃金拷貝，他們就能夠根據(jù)每一個(gè)實(shí)例的情況破壞整個(gè)系統(tǒng)。安全軟件僅查看運(yùn)行的東西，而黃金拷貝是不運(yùn)行的。因此，你需要能夠調(diào)查這些黃金拷貝。一個(gè)休息的虛擬機(jī)是一個(gè)大型的ISO文件。

Orrin補(bǔ)充說，企業(yè)生產(chǎn)提供必要的安全保護(hù)的產(chǎn)品。他們提供在設(shè)置之前的改變控制與管理以及一個(gè)虛擬機(jī)的證明。在遷移期間，虛擬機(jī)在線路上能夠遭到攻擊。甚至還有虛擬機(jī)在兩臺(tái)服務(wù)器之間遷移的時(shí)候遭到攻擊的例子。這種攻擊改變轉(zhuǎn)送中的安全數(shù)據(jù)。因此，要保護(hù)虛擬機(jī)的完整性，他們必須要保證正在配置的虛擬機(jī)是原始的，也就是沒有修改過的虛擬機(jī)。

Orrin說，好消息是有許多工具和技術(shù)能夠解決這些問題。IT部門只需要使用合適的工具。

【編輯推薦】

1. 微軟Linux內(nèi)核留"后門" 虛擬化沒徹底解決
2. 虛擬化技術(shù)延長(zhǎng)軟件應(yīng)用壽命
3. 榨干虛擬化，從虛擬化中獲得投資回報(bào)