服務(wù)器虛擬化正在推動著當(dāng)前的數(shù)據(jù)中心改造。這種技術(shù)提高了可用性，減少IT成本和支持未來的業(yè)務(wù)增長。服務(wù)器虛擬化能夠讓機構(gòu)更好地準(zhǔn)備好應(yīng)對更廣泛的云計算機會和基于服務(wù)的計算機會。在降低成本的同時提高效率的需求正在推動虛擬化技術(shù)的迅速應(yīng)用。

在不確定的經(jīng)濟情況下，服務(wù)器虛擬化仍在繼續(xù)增長。然而，虛擬化的快速應(yīng)用能夠引起顛覆性的特征(也就是說完全改造的基礎(chǔ)設(shè)施和提供新的模式)，改變數(shù)據(jù)中心自然的秩序和引起安全問題。

企業(yè)保護自己的虛擬服務(wù)器環(huán)境的安全是非常重要的，特別是虛擬化不僅已經(jīng)在服務(wù)器中更普遍的應(yīng)用，而且在存儲、操作系統(tǒng)、臺式電腦和網(wǎng)絡(luò)資源等方面也在廣泛應(yīng)用。下面看一下機構(gòu)擔(dān)心的虛擬服務(wù)安全的主要問題，以及如何更好地控制這些問題，同時為虛擬化進一步向數(shù)據(jù)中心普及做好準(zhǔn)備。

解除服務(wù)器虛擬化安全隱患之管理、責(zé)任和政策

管理虛擬化的主要問題是誰負(fù)責(zé)虛擬資源。與物理服務(wù)器不同，物理服務(wù)器由在這個物理區(qū)域的管理員直接負(fù)責(zé)，虛擬服務(wù)器的責(zé)任通常是不明確的。當(dāng)涉及到虛擬化的時候，會出現(xiàn)如下問題：誰負(fù)責(zé)、誰應(yīng)該擁有訪問權(quán)、誰應(yīng)該配置和保證這個環(huán)境的安全?這個責(zé)任是應(yīng)該由業(yè)務(wù)部門、服務(wù)器管理員還是一個集中的主管理員負(fù)責(zé)?

當(dāng)設(shè)法解決這些問題時，遵循的一個簡單的規(guī)則是對待重要的虛擬服務(wù)器應(yīng)該像對待物理服務(wù)器一樣采取同樣的控制措施。例如，如果你沒有把你的SAP服務(wù)器的根口令提供給主要管理員以外的其他人，對于你的虛擬SAP服務(wù)器也要制定同樣的規(guī)則。

應(yīng)用安全虛擬解決方案定義和管理整個新的環(huán)境中的政策。當(dāng)遇到虛擬安全的問題時，IT管理員需要制定正確的政策安全地保護自己的系統(tǒng)。然而，這些政策必須足夠靈活以保證它們沒有太多的限制。IT管理員需要詢問使用當(dāng)前的安全政策是否可以實現(xiàn)服務(wù)器虛擬化的全部好處。一個理想的解決方案是通過保證虛擬化不繞過現(xiàn)有的安全控制措施讓用戶保持對自己的基礎(chǔ)設(shè)施的控制。這需要高水平的集中批準(zhǔn)和控制。

解除服務(wù)器虛擬化安全隱患之遵守法規(guī)

隨著一些虛擬服務(wù)器變成擁有極少控制的看不見的網(wǎng)絡(luò)，就會出現(xiàn)遵守法規(guī)的問題。對于沒有專門負(fù)責(zé)監(jiān)視每一臺主機內(nèi)部虛擬機的全部互動情況的數(shù)據(jù)中心管理員來說，這是很成問題的。隨著虛擬化繼續(xù)向主流應(yīng)用發(fā)展，有許多遵守法規(guī)的強制規(guī)定將不可避免地影響到虛擬化的應(yīng)用。例如，這些遵守法規(guī)的強制規(guī)定之一是PCI-DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))。

在零售行業(yè)，定義信用卡處理的規(guī)定(PCI-DSS要求2.2.1)要求企業(yè)每臺服務(wù)器僅執(zhí)行一項功能。這使人們對這個規(guī)定有許多解釋。有些零售商也許把這個規(guī)定解釋為每臺物理服務(wù)器僅執(zhí)行一項任務(wù)。有些企業(yè)僅把這項規(guī)定嚴(yán)格地限制在部署虛擬服務(wù)器方面。由于標(biāo)準(zhǔn)含糊不清，單個的企業(yè)正在采取不同的方式使用虛擬化技術(shù)處理信用卡信息。這會暴露持卡人的數(shù)據(jù)和沒有使用新的行業(yè)規(guī)定遵守法規(guī)，從而引起企業(yè)的風(fēng)險。使用一個有經(jīng)驗的綜合者解決這個問題。PCI安全標(biāo)準(zhǔn)委員會最近恢復(fù)了一個特別興趣組，以澄清審計人員和用戶在虛擬化方面遇到的一些問題。這個興趣組將在2009年年底之前提供第一輪建議。

在處理服務(wù)器虛擬化的遵守法規(guī)的問題，企業(yè)需要理解自己的風(fēng)險。建立一個安全的審計跟蹤作為遵守內(nèi)部和外部審計者規(guī)定的證明，實時報警和聯(lián)合流程仍是虛擬環(huán)境優(yōu)先考慮的事情。如果一家公司能夠現(xiàn)實地處理自己的風(fēng)險，它就很容易解決審計者擔(dān)心的問題并且保證能夠修復(fù)任何問題。

隨著他們允許機構(gòu)保持老式的服務(wù)、操作系統(tǒng)和應(yīng)用程序，同時繼續(xù)推進數(shù)據(jù)中心優(yōu)化的努力，虛擬機將更加流行。因此，沒有一個管理這些老式系統(tǒng)的撤銷過程的明確的計劃，就會存在風(fēng)險并且會給企業(yè)帶來新的重大安全風(fēng)險。有一種推測認(rèn)為，老式系統(tǒng)中使用的安全措施能夠在虛擬化環(huán)境中提供同樣的安全保護。企業(yè)把老式的安全措施當(dāng)作安全系統(tǒng)是不安全的，不會以同樣的方式發(fā)揮作用，從而使企業(yè)容易遭到安全攻擊。

解除服務(wù)器虛擬化安全隱患之保證虛擬化安全并監(jiān)視虛擬化

把服務(wù)器虛擬化推廣到生產(chǎn)環(huán)境的一個重要挑戰(zhàn)是保證平臺的安全并且進行監(jiān)視以便解決安全漏洞。與在裸機上運行的操作系統(tǒng)/應(yīng)用程序不同，在一個虛擬化平臺上運行的虛擬機是這個系統(tǒng)的活動部件。虛擬機管理員能夠復(fù)制和把虛擬機鏡像從一臺服務(wù)器遷移到另一臺服務(wù)器，在遷移中攜帶那個虛擬機、操作系統(tǒng)和支持的應(yīng)用程序等全部內(nèi)容。IT部門還能夠在運行狀態(tài)暫停、拷貝和把虛擬機從一臺服務(wù)器遷移到另一臺服務(wù)器。

當(dāng)然，這種靈活性還會產(chǎn)生安全漏洞。隨著虛擬機的不斷的上線和下線，或者根據(jù)需要從一臺服務(wù)器遷移到另一臺服務(wù)器，安全控制措施需要反映這些變化。此外，隨著虛擬機從一臺服務(wù)器遷移到另一臺服務(wù)器，這些虛擬機也許會為傳統(tǒng)的防火墻檢測不到的危險和攻擊敞開大門。處理這種安全漏洞的一個理想的方法是利用高級記錄事件管理技術(shù)。這使企業(yè)能夠監(jiān)視各種虛擬化基礎(chǔ)設(shè)施組件以便檢測虛擬化平臺中將發(fā)生什么事情。這包括監(jiān)視具體的事件、失敗的登錄和其它可以認(rèn)為是違法政策的活動。這種技術(shù)還能夠讓機構(gòu)詳細(xì)地理解有權(quán)限的用戶能夠?qū)蝹€虛擬機做什么。

由于虛擬機的設(shè)置和運行時間都比傳統(tǒng)的物理服務(wù)器更短暫，這將引起額外的擔(dān)心。這產(chǎn)生了一些風(fēng)險情況。在這種情況中，虛擬機不可能上線進行安全掃描、升級和使用補丁。當(dāng)發(fā)生故障的時候，找到故障原因也是很困難的，因為虛擬機不斷地建立和撤銷，快照和檢查點經(jīng)常退回重來。機構(gòu)部署目前可用的軟件管理解決方案管理離線虛擬機和物理服務(wù)器以避開這些安全問題是非常重要的。

由于數(shù)據(jù)中心的虛擬機數(shù)量比物理服務(wù)器的數(shù)量多，保證這些虛擬機避免遭到病毒攻擊是比較復(fù)雜的。由于虛擬機數(shù)量更多，病毒能夠成倍地傳播，攻擊的服務(wù)器數(shù)量要把純物理服務(wù)器環(huán)境中攻擊的服務(wù)器數(shù)量多。傳統(tǒng)的網(wǎng)絡(luò)管理工具看不到虛擬機與虛擬機之間的通訊。要在這種情況下提供幫助，不同物理服務(wù)器上的虛擬機池需要在自己的專用網(wǎng)絡(luò)上相互溝通，能夠完全訪問共同身份識別和加密等安全功能。

虛擬機鏡像將保留在文件中。結(jié)果，由于這些文件很容易復(fù)制，這就增加了風(fēng)險。有一些可用的選擇可以管理這些特殊問題。虛擬機鏡像本身中的秘密數(shù)據(jù)不應(yīng)該輕松地訪問。最起碼的是企業(yè)應(yīng)該加密這些數(shù)據(jù)或者把這些數(shù)據(jù)存儲到其它的存儲位置(這可以是虛擬的或者物理的)。此外，加強管理來自網(wǎng)絡(luò)的虛擬機鏡像能夠更嚴(yán)格進行控制，保證最低限度地訪問這些鏡像和增加身份識別。

解除服務(wù)器虛擬化安全隱患之虛擬機蔓延和移動

許多企業(yè)日益擔(dān)心虛擬機蔓延問題。除了日益增加的管理復(fù)雜性和日益提高的數(shù)據(jù)中心成本之外，人們還日益擔(dān)心缺少可用的控制措施避免業(yè)務(wù)部門經(jīng)理自己創(chuàng)新大量新的虛擬服務(wù)器。使這種擔(dān)心更加嚴(yán)重的是這些新的服務(wù)器也許是在沒有保證適當(dāng)管理和安全的情況下創(chuàng)建的。

與虛擬機蔓延和輕松地在物理服務(wù)器之間遷移虛擬機有關(guān)的一個重要問題是支持環(huán)境的可持續(xù)性。這個主要問題是不同的虛擬機工作量通常有不同的與存儲、計算和網(wǎng)絡(luò)有關(guān)的要求?？刂七@個風(fēng)險需要明確地關(guān)聯(lián)虛擬機工作量和適當(dāng)?shù)囊胤诸?，以及確保維持必要的安全態(tài)勢。

當(dāng)考察軟件管理解決方案的時候，企業(yè)有必要評估他們支持基于政策的向這個環(huán)境動態(tài)分配虛擬機的能力。這種能力通常稱作“沙箱”。沙箱是隔離運行的應(yīng)用程序的一種安全機制。沙箱經(jīng)常用來執(zhí)行沒有經(jīng)過測試的代碼或者沒有經(jīng)過驗證的第三方、供應(yīng)商或用戶的應(yīng)用程序。這種方法通過阻止應(yīng)用程序向沙箱外部寫數(shù)據(jù)的方法來保證應(yīng)用程序的安全，阻止進入系統(tǒng)的病毒和其它惡意活動進行破壞。

保持所有相關(guān)活動的審計記錄也是非常重要的。一個有關(guān)正在運行的情況的漫游快照能夠讓管理員回去進行驗證、優(yōu)化和監(jiān)視用戶活動， 并且保持一個準(zhǔn)確的快照。通過運行在同一個沙箱中的與遵守法規(guī)有關(guān)的應(yīng)用程序，與其它更普通的應(yīng)用程序隔離開，企業(yè)能夠減少數(shù)據(jù)泄漏的風(fēng)險。這允許企業(yè)保持一個適當(dāng)?shù)陌踩珣B(tài)勢并且根據(jù)傳統(tǒng)的數(shù)據(jù)分類按照政策隔離虛擬機。

為了減少虛擬機蔓延，企業(yè)應(yīng)該利用一些時間培訓(xùn)管理員有關(guān)虛擬基礎(chǔ)設(shè)施開發(fā)、管理和安全的知識。他們要求明確地理解虛擬化技術(shù)和虛擬化技術(shù)與傳統(tǒng)的IT基礎(chǔ)設(shè)施的區(qū)別。IT人員必須有正確的工具進行有效的管理。但是，IT人員還需要進行培訓(xùn)以正確地管理這個新的基礎(chǔ)設(shè)施。

解除服務(wù)器虛擬化安全隱患之安全改進

機構(gòu)能夠繼續(xù)改善他們的安全態(tài)勢。下面是一些額外的建議：

•減少服務(wù)器關(guān)機時間。虛擬機能夠在完全運行的時候進行備份，因此要確認(rèn)你的系統(tǒng)在繼續(xù)運行以保證實時備份。如果一個系統(tǒng)發(fā)生故障并且管理員執(zhí)行了實時備份或定時快照，系統(tǒng)會很快恢復(fù)。如果恢復(fù)是必要的，那么，退回重來就像提取最新的快照一樣簡單。

•改善IT效率。企業(yè)利用一個批準(zhǔn)的黃金鏡像能夠?qū)崿F(xiàn)增強的安全性和管理性。這個黃金鏡像為一個桌面提供各種存儲在防火墻后面的用戶資料。這樣做企業(yè)能夠顯著改善生產(chǎn)率，幫助改善IT運營。這種做法就是保證每一個使用的虛擬機都是根據(jù)經(jīng)過批準(zhǔn)的黃金鏡像制作的，無論這些虛擬機用于開發(fā)、測試或者生產(chǎn)都是如此。

•提高靈活性。為了向一切都是服務(wù)的模式的過渡，企業(yè)能夠定義和應(yīng)用合適的數(shù)據(jù)分類和分離。這還能夠使企業(yè)更輕松和更自信地恰當(dāng)?shù)剡x擇專有的和公共的云計算解決方案。這是因為虛擬化能夠參考SOA讓實施更方便地在云計算環(huán)境中管理和部署。

隨著虛擬化繼續(xù)推動數(shù)據(jù)中心的發(fā)展，采用超越物理環(huán)境的最佳安全做法、政策和解決方案并且像對待物理環(huán)境一樣警惕地對待虛擬環(huán)境是非常重要的。理解你的企業(yè)的安全風(fēng)險狀況，應(yīng)用適當(dāng)水平的安全措施能夠讓你的企業(yè)從虛擬解決方案中獲得巨大的好處，同時為未來的數(shù)據(jù)中心技術(shù)創(chuàng)新創(chuàng)造一個舞臺。

如果您能做好以上五大策略，解除服務(wù)器虛擬化安全隱患工作就能夠很好的執(zhí)行了。

【編輯推薦】

1. 如何維護好虛擬化環(huán)境的健康與安全？
2. 部署虛擬化需加倍注意安全風(fēng)險
3. 虛擬化技術(shù)帶來的安全挑戰(zhàn)