【51CTO 8月8日外電頭條】虛擬化技術(shù)對(duì)中小企業(yè)來(lái)說(shuō)是個(gè)福音;但要是各種各樣的問(wèn)題經(jīng)常出現(xiàn)，這項(xiàng)技術(shù)也可能是個(gè)負(fù)擔(dān)。與實(shí)施任何IT技術(shù)一樣，采取積極主動(dòng)的做法遠(yuǎn)比采取消極被動(dòng)的做法要好得多，而且常常更省錢。了解一些常見(jiàn)問(wèn)題(如下面概述的這些問(wèn)題)可以幫助企業(yè)避免犯同樣的錯(cuò)誤。

　　未能將安全最佳實(shí)踐轉(zhuǎn)移過(guò)去

　　BeyondTrust公司的首席運(yùn)營(yíng)官Brian Anderson強(qiáng)調(diào)，虛擬機(jī)管理程序?qū)訋?lái)了一層新的軟件，需要采取與服務(wù)器本身一直以來(lái)采取的同樣的許多安全防范措施。但是企業(yè)常常沒(méi)有通過(guò)虛擬化項(xiàng)目，將已經(jīng)為單臺(tái)服務(wù)器落實(shí)的安全最佳實(shí)踐轉(zhuǎn)移過(guò)去。他說(shuō)：“在如今的大多數(shù)虛擬化環(huán)境下，IT人員可以將數(shù)據(jù)裝入到虛擬機(jī)管理程序上，因而很容易獲得沒(méi)有限制、未加監(jiān)控的訪問(wèn)權(quán)，從而在不被察覺(jué)的情況下，竊取整個(gè)數(shù)據(jù)庫(kù)的內(nèi)容，而在傳統(tǒng)環(huán)境下這根本不可能。”

　　Anderson建議，為了避免這個(gè)問(wèn)題，企業(yè)需要將針對(duì)傳統(tǒng)服務(wù)器實(shí)施的同樣的最佳實(shí)踐、安全政策和治理流程轉(zhuǎn)移過(guò)去，將它們實(shí)施到虛擬機(jī)管理程序?qū)由稀＿@些最佳實(shí)踐當(dāng)中有一部分需要為特許訪問(wèn)制定政策和流程(想了解更多信息，請(qǐng)參閱附文《首要問(wèn)題：忘了特許訪問(wèn)政策》)、監(jiān)控虛擬機(jī)管理程序上的用戶行為以及將識(shí)別可疑行為的工具落實(shí)到位。

　　企業(yè)忍不住減少安全預(yù)算

　　據(jù)Anderson聲稱，上馬虛擬化項(xiàng)目的動(dòng)因常常是需要降低成本，因?yàn)槠髽I(yè)可以顯著減少所要采購(gòu)和維護(hù)的硬件數(shù)量。“現(xiàn)在的情況是，許多企業(yè)希望同時(shí)能夠縮減安全成本，與硬件成本減少的現(xiàn)狀相一致，實(shí)際上安全預(yù)算需要增加，以保護(hù)額外的軟件層。”

　　Anderson發(fā)現(xiàn)虛擬化項(xiàng)目經(jīng)常犯的最大錯(cuò)誤在于，安全預(yù)算減少后，保護(hù)力度就隨之喪失了，因?yàn)樵S多人認(rèn)為，安全成本應(yīng)該與硬件成本保持同樣的正比關(guān)系。他建議而是應(yīng)該增加安全預(yù)算，防止棘手的安全問(wèn)題在虛擬化技術(shù)實(shí)施后出現(xiàn)。

　　不顧出現(xiàn)虛擬機(jī)散亂的風(fēng)險(xiǎn)

　　Layer 7 Technologies公司的首席技術(shù)官Scott Morrison表示，虛擬化技術(shù)方面一個(gè)重大又很常見(jiàn)的問(wèn)題是虛擬機(jī)散亂。他說(shuō)：“創(chuàng)建新的虛擬機(jī)變得非常輕而易舉。然而，虛擬機(jī)占用非常龐大的磁盤空間，而且常常只有一個(gè)文件名來(lái)識(shí)別它們是什么。”

　　他補(bǔ)充說(shuō)，連偶爾在筆記本電腦上進(jìn)行虛擬化的人也很快遇到了這個(gè)問(wèn)題?，F(xiàn)在市面上出現(xiàn)了對(duì)付虛擬機(jī)散亂的管理工具，IT經(jīng)理們應(yīng)該調(diào)查研究一下這些工具是否適用于自己的環(huán)境。Morrison補(bǔ)充說(shuō)，另外，實(shí)施速帶重復(fù)數(shù)據(jù)刪除技術(shù)的存儲(chǔ)解決方案對(duì)于削減虛擬映像的存儲(chǔ)成本具有巨大影響，因?yàn)橛诚裰g的實(shí)際差異通常非常小。

　　摸清存儲(chǔ)需求

　　Sentilla公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人Joe Polastre表示，許多企業(yè)低估了虛擬化技術(shù)給存儲(chǔ)帶來(lái)的影響，特別是給存儲(chǔ)區(qū)域網(wǎng)絡(luò)帶來(lái)的影響。他強(qiáng)調(diào)，對(duì)于存儲(chǔ)更高的需求常常導(dǎo)致企業(yè)投入大筆資本來(lái)購(gòu)置存儲(chǔ)系統(tǒng)，而且缺少滿足這些存儲(chǔ)機(jī)柜所需要的電量。

　　為了防止存儲(chǔ)問(wèn)題，企業(yè)應(yīng)該關(guān)注專門應(yīng)用于管理型環(huán)境而設(shè)計(jì)的存儲(chǔ)系統(tǒng)。

　　運(yùn)行中虛擬映像之間的隔離

　　Morrison強(qiáng)調(diào)，企業(yè)試圖實(shí)施虛擬化技術(shù)時(shí)，運(yùn)行中虛擬映像之間的隔離會(huì)成為一大問(wèn)題。他補(bǔ)充說(shuō)，網(wǎng)絡(luò)工程師們非常擅長(zhǎng)使用物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施、硬件和虛擬局域網(wǎng)(VLAN)來(lái)建立信任區(qū)，但是在龐大的虛擬化環(huán)境下，這個(gè)過(guò)程卻不大簡(jiǎn)單。

　　他說(shuō)：“建立虛擬網(wǎng)絡(luò)的工程師常常與建立物理網(wǎng)絡(luò)的工程師不是同一批人，前者常常使用全然不同的工具和后者并不熟悉的模式。這就導(dǎo)致了網(wǎng)絡(luò)安全和服務(wù)級(jí)別協(xié)議(SLA)等方面存在不連貫性。隨著虛擬網(wǎng)絡(luò)變得日益流行、日益復(fù)雜，這會(huì)成為一個(gè)越來(lái)越嚴(yán)峻的問(wèn)題。”

　　可以采取一些預(yù)防措施，比如對(duì)現(xiàn)有的工程師進(jìn)行虛擬網(wǎng)絡(luò)方面的培訓(xùn)，那樣不至于在物理網(wǎng)絡(luò)方法與虛擬網(wǎng)絡(luò)方法以及工作人員彼此之間形成分歧。還有一些技術(shù)解決方案有助于在信任區(qū)之間建立應(yīng)用層隔離。

　　根據(jù)技術(shù)而不是根據(jù)人來(lái)選擇解決方案

　　Morrison表示，選擇虛擬化解決方案方面的最大問(wèn)題不是技術(shù)問(wèn)題，而是人員、政策和流程等問(wèn)題。他認(rèn)為，企業(yè)往往忽視了現(xiàn)有的顧問(wèn)班子，倉(cāng)促上馬虛擬化技術(shù)。

　　他說(shuō)：“給新的虛擬化小組配備人員很常見(jiàn)，這些人的角色和職責(zé)與現(xiàn)有人員的角色和職責(zé)重復(fù)，但側(cè)重于新的虛擬化環(huán)境。盡管這很好，因?yàn)樗蚱屏爽F(xiàn)狀，可以給IT帶來(lái)新的靈活性，但是會(huì)在現(xiàn)有的人員當(dāng)中引起問(wèn)題，而且常常危及安全、SLA、最佳實(shí)踐和工作流等方面現(xiàn)有的良好流程和政策。”

　　他建議企業(yè)應(yīng)根據(jù)需要來(lái)配備人員，同時(shí)利用現(xiàn)有的人員來(lái)開(kāi)展更龐大的虛擬化項(xiàng)目。他表示，網(wǎng)絡(luò)工程師可能認(rèn)為虛擬化是個(gè)威脅，因?yàn)樗?jiǎn)化了物理布線;但是如果他們能了解虛擬化技術(shù)、為虛擬化網(wǎng)絡(luò)帶來(lái)傳統(tǒng)的嚴(yán)格管理，也會(huì)把這項(xiàng)技術(shù)視作是職業(yè)生涯的發(fā)展機(jī)會(huì)。

　　首要問(wèn)題：忘了特許訪問(wèn)政策

　　BeyondTrust公司的首席運(yùn)營(yíng)官Brian Anderson強(qiáng)調(diào)，當(dāng)企業(yè)對(duì)不大重要的服務(wù)器進(jìn)行虛擬化處理時(shí)，安全問(wèn)題顯得不大重要。然而，許多企業(yè)現(xiàn)正在對(duì)最敏感的服務(wù)器進(jìn)行虛擬化處理，卻沒(méi)有實(shí)施相應(yīng)的工具以便管理員訪問(wèn)。

　　他說(shuō)：“從特許訪問(wèn)的角度來(lái)看，這個(gè)問(wèn)題還會(huì)因下面這個(gè)事實(shí)而更棘手：高度虛擬化的環(huán)境往往為每一個(gè)管理員授權(quán)，以便可以訪問(wèn)更多的虛擬服務(wù)器，而之前可以訪問(wèn)的物理服務(wù)器數(shù)量比較少。允許訪問(wèn)更多的機(jī)器帶來(lái)了更大的風(fēng)險(xiǎn);最佳實(shí)踐政策和流程也沒(méi)有及時(shí)跟上后，就很危險(xiǎn)了。”

　　Anderson建議企業(yè)應(yīng)該為管理員落實(shí)控制措施，確保沒(méi)有什么不在企業(yè)政策和政府法規(guī)的許可范圍之內(nèi)。

　　文章出處：http://www.processor.com/articles/P3306/21p06/21p06.pdf?guid