英特爾公司安全解決方案總監(jiān)Steve Orrin對于規(guī)劃虛擬化配置有著簡單而實用的建議。他表示"不要一開始就急于去追逐那些高價值和承擔(dān)關(guān)鍵任務(wù)的領(lǐng)域。要從有投資價值而不是那么關(guān)鍵的領(lǐng)域開始著手，否則一旦出現(xiàn)問題就是很嚴(yán)重的后果"，虛擬化部署安全問題不容忽視。

"對于任何新興的基礎(chǔ)架構(gòu)，都存在著錯誤和挑戰(zhàn)。學(xué)習(xí)，然后將學(xué)到的知識和經(jīng)驗應(yīng)用到高價值系統(tǒng)中去"Orrin補充說。

省錢但不要走捷徑

根據(jù)Orrin的說法，如果安全在這些配置中經(jīng)常是事后才去考慮的問題，這可能是因為企業(yè)用戶過于追求成本節(jié)約的效應(yīng)，而不是利用虛擬化所能提供的靈活性優(yōu)勢。"管理者必須完全理解虛擬化對他們意味著什么"Orrin強調(diào)說"這里有著安全的考慮，運作問題和安全一樣棘手，當(dāng)你嘗試將你熟悉的物理世界向虛擬領(lǐng)域遷移時，問題就出現(xiàn)了"。

當(dāng)應(yīng)用軟件在服務(wù)器之間進(jìn)行遷移，改變他們使用的資源甚至他們存儲的位置時，安全問題變得更加復(fù)雜。Orrin解釋說"針對不同的虛擬機你需要不同級別的安全設(shè)置。人們從20臺設(shè)備整合為一臺大型的設(shè)備，目前關(guān)鍵任務(wù)應(yīng)用軟件與測試應(yīng)用軟件和人力資源軟件等一起在同一個設(shè)備上運行。一種安全協(xié)議如何涵蓋所有的方面?"。

現(xiàn)實中多數(shù)配置比這個要復(fù)雜的多。Orrin表示"在多數(shù)企業(yè)中，整合的比例遠(yuǎn)不止20：1。一些企業(yè)有很多數(shù)據(jù)中心分布在不同地點，管理者也希望能對數(shù)據(jù)中心進(jìn)行整合"。

沒有一種安全協(xié)議

Orrin表示，解決方案是設(shè)置一種涵蓋多種級別安全的安全協(xié)議(設(shè)定低，中，高的安全級別)，循序漸進(jìn)的部署虛擬化。如果這部分進(jìn)展順利，就會帶來法規(guī)遵從的好處。Orrin表示"我見證過很多實例，人們發(fā)現(xiàn)應(yīng)用安全控制并把它們反饋給審計人員要簡單的多"。但是要把這個過程做好也并不容易。有一種新的軟件層，管理程序外加虛擬機管理器都需要安全保護。虛擬化技術(shù)能有所幫助。

Orrin表示"VMsafe和Xen中類似的工具能幫助你調(diào)整虛擬機管理器，以便一個虛擬機能為其他虛擬機做殺毒工作。我們的目標(biāo)就是利用用戶現(xiàn)有的安全機制，讓它與虛擬化技術(shù)相結(jié)合"。讓現(xiàn)有的安全機制與虛擬化相結(jié)合以一方面;讓防火墻與虛擬化相結(jié)合就難度更大。Orrin介紹說"云上的防火墻不能達(dá)到同種級別的保護效果，特別是如果管理程序是在虛擬機之間擔(dān)當(dāng)互聯(lián)的話"。

種種原因告訴我們虛擬化部署安全問題不容忽視。

【編輯推薦】

1. 解除服務(wù)器虛擬化安全隱患五大策略
2. 企業(yè)信息虛擬化還不安全 小心中招
3. 保衛(wèi)虛擬化安全，企業(yè)該選哪把槍？