【51CTO 8月8日外電頭條】虛擬化技術(shù)對中小企業(yè)來說是個福音;但要是各種各樣的問題經(jīng)常出現(xiàn)，這項技術(shù)也可能是個負(fù)擔(dān)。與實施任何IT技術(shù)一樣，采取積極主動的做法遠(yuǎn)比采取消極被動的做法要好得多，而且常常更省錢。了解一些常見問題(如下面概述的這些問題)可以幫助企業(yè)避免犯同樣的錯誤。

　　未能將安全***實踐轉(zhuǎn)移過去

　　BeyondTrust公司的***運(yùn)營官Brian Anderson強(qiáng)調(diào)，虛擬機(jī)管理程序?qū)訋砹艘粚有碌能浖?，需要采取與服務(wù)器本身一直以來采取的同樣的許多安全防范措施。但是企業(yè)常常沒有通過虛擬化項目，將已經(jīng)為單臺服務(wù)器落實的安全***實踐轉(zhuǎn)移過去。他說：“在如今的大多數(shù)虛擬化環(huán)境下，IT人員可以將數(shù)據(jù)裝入到虛擬機(jī)管理程序上，因而很容易獲得沒有限制、未加監(jiān)控的訪問權(quán)，從而在不被察覺的情況下，竊取整個數(shù)據(jù)庫的內(nèi)容，而在傳統(tǒng)環(huán)境下這根本不可能。”

　　Anderson建議，為了避免這個問題，企業(yè)需要將針對傳統(tǒng)服務(wù)器實施的同樣的***實踐、安全政策和治理流程轉(zhuǎn)移過去，將它們實施到虛擬機(jī)管理程序?qū)由?。這些***實踐當(dāng)中有一部分需要為特許訪問制定政策和流程(想了解更多信息，請參閱附文《首要問題：忘了特許訪問政策》)、監(jiān)控虛擬機(jī)管理程序上的用戶行為以及將識別可疑行為的工具落實到位。

　　企業(yè)忍不住減少安全預(yù)算

　　據(jù)Anderson聲稱，上馬虛擬化項目的動因常常是需要降低成本，因為企業(yè)可以顯著減少所要采購和維護(hù)的硬件數(shù)量。“現(xiàn)在的情況是，許多企業(yè)希望同時能夠縮減安全成本，與硬件成本減少的現(xiàn)狀相一致，實際上安全預(yù)算需要增加，以保護(hù)額外的軟件層。”

　　Anderson發(fā)現(xiàn)虛擬化項目經(jīng)常犯的***錯誤在于，安全預(yù)算減少后，保護(hù)力度就隨之喪失了，因為許多人認(rèn)為，安全成本應(yīng)該與硬件成本保持同樣的正比關(guān)系。他建議而是應(yīng)該增加安全預(yù)算，防止棘手的安全問題在虛擬化技術(shù)實施后出現(xiàn)。

　　不顧出現(xiàn)虛擬機(jī)散亂的風(fēng)險

　　Layer 7 Technologies公司的***技術(shù)官Scott Morrison表示，虛擬化技術(shù)方面一個重大又很常見的問題是虛擬機(jī)散亂。他說：“創(chuàng)建新的虛擬機(jī)變得非常輕而易舉。然而，虛擬機(jī)占用非常龐大的磁盤空間，而且常常只有一個文件名來識別它們是什么。”

　　他補(bǔ)充說，連偶爾在筆記本電腦上進(jìn)行虛擬化的人也很快遇到了這個問題。現(xiàn)在市面上出現(xiàn)了對付虛擬機(jī)散亂的管理工具，IT經(jīng)理們應(yīng)該調(diào)查研究一下這些工具是否適用于自己的環(huán)境。Morrison補(bǔ)充說，另外，實施速帶重復(fù)數(shù)據(jù)刪除技術(shù)的存儲解決方案對于削減虛擬映像的存儲成本具有巨大影響，因為映像之間的實際差異通常非常小。

　　摸清存儲需求

　　Sentilla公司的***技術(shù)官兼聯(lián)合創(chuàng)始人Joe Polastre表示，許多企業(yè)低估了虛擬化技術(shù)給存儲帶來的影響，特別是給存儲區(qū)域網(wǎng)絡(luò)帶來的影響。他強(qiáng)調(diào)，對于存儲更高的需求常常導(dǎo)致企業(yè)投入大筆資本來購置存儲系統(tǒng)，而且缺少滿足這些存儲機(jī)柜所需要的電量。

　　為了防止存儲問題，企業(yè)應(yīng)該關(guān)注專門應(yīng)用于管理型環(huán)境而設(shè)計的存儲系統(tǒng)。

　　運(yùn)行中虛擬映像之間的隔離

　　Morrison強(qiáng)調(diào)，企業(yè)試圖實施虛擬化技術(shù)時，運(yùn)行中虛擬映像之間的隔離會成為一大問題。他補(bǔ)充說，網(wǎng)絡(luò)工程師們非常擅長使用物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施、硬件和虛擬局域網(wǎng)(VLAN)來建立信任區(qū)，但是在龐大的虛擬化環(huán)境下，這個過程卻不大簡單。

　　他說：“建立虛擬網(wǎng)絡(luò)的工程師常常與建立物理網(wǎng)絡(luò)的工程師不是同一批人，前者常常使用全然不同的工具和后者并不熟悉的模式。這就導(dǎo)致了網(wǎng)絡(luò)安全和服務(wù)級別協(xié)議(SLA)等方面存在不連貫性。隨著虛擬網(wǎng)絡(luò)變得日益流行、日益復(fù)雜，這會成為一個越來越嚴(yán)峻的問題。”

　　可以采取一些預(yù)防措施，比如對現(xiàn)有的工程師進(jìn)行虛擬網(wǎng)絡(luò)方面的培訓(xùn)，那樣不至于在物理網(wǎng)絡(luò)方法與虛擬網(wǎng)絡(luò)方法以及工作人員彼此之間形成分歧。還有一些技術(shù)解決方案有助于在信任區(qū)之間建立應(yīng)用層隔離。

　　根據(jù)技術(shù)而不是根據(jù)人來選擇解決方案

　　Morrison表示，選擇虛擬化解決方案方面的***問題不是技術(shù)問題，而是人員、政策和流程等問題。他認(rèn)為，企業(yè)往往忽視了現(xiàn)有的顧問班子，倉促上馬虛擬化技術(shù)。

　　他說：“給新的虛擬化小組配備人員很常見，這些人的角色和職責(zé)與現(xiàn)有人員的角色和職責(zé)重復(fù)，但側(cè)重于新的虛擬化環(huán)境。盡管這很好，因為它打破了現(xiàn)狀，可以給IT帶來新的靈活性，但是會在現(xiàn)有的人員當(dāng)中引起問題，而且常常危及安全、SLA、***實踐和工作流等方面現(xiàn)有的良好流程和政策。”

　　他建議企業(yè)應(yīng)根據(jù)需要來配備人員，同時利用現(xiàn)有的人員來開展更龐大的虛擬化項目。他表示，網(wǎng)絡(luò)工程師可能認(rèn)為虛擬化是個威脅，因為它簡化了物理布線;但是如果他們能了解虛擬化技術(shù)、為虛擬化網(wǎng)絡(luò)帶來傳統(tǒng)的嚴(yán)格管理，也會把這項技術(shù)視作是職業(yè)生涯的發(fā)展機(jī)會。

　　首要問題：忘了特許訪問政策

　　BeyondTrust公司的***運(yùn)營官Brian Anderson強(qiáng)調(diào)，當(dāng)企業(yè)對不大重要的服務(wù)器進(jìn)行虛擬化處理時，安全問題顯得不大重要。然而，許多企業(yè)現(xiàn)正在對最敏感的服務(wù)器進(jìn)行虛擬化處理，卻沒有實施相應(yīng)的工具以便管理員訪問。

　　他說：“從特許訪問的角度來看，這個問題還會因下面這個事實而更棘手：高度虛擬化的環(huán)境往往為每一個管理員授權(quán)，以便可以訪問更多的虛擬服務(wù)器，而之前可以訪問的物理服務(wù)器數(shù)量比較少。允許訪問更多的機(jī)器帶來了更大的風(fēng)險;***實踐政策和流程也沒有及時跟上后，就很危險了。”

　　Anderson建議企業(yè)應(yīng)該為管理員落實控制措施，確保沒有什么不在企業(yè)政策和政府法規(guī)的許可范圍之內(nèi)。

　　文章出處：http://www.processor.com/articles/P3306/21p06/21p06.pdf?guid