【51CTO 3月14號外電】隨著虛擬化技術的興起，以及許多企業(yè)因此改而在單臺服務器上運行多個虛擬機，許多這些問題隨之消失了。

　　由于現在將多個虛擬機放到單單一臺服務器上，IT部門就能確保服務器的處理能力分配給了許多應用程序。通常以個位數來衡量的利用率現在可以提高到70%，甚至更高，確保了浪費在成本高、利用率低的服務器上的資本少得多。

　　向虛擬化技術轉變的潮流帶來了有時所謂的“虛擬化停滯”(virtualization stall)，這也絕非什么秘密。這個問題是指，許多企業(yè)對25%左右的服務器進行虛擬化處理后，就停滯不前了。

　　如果你分析一下為什么會出現這個問題，通常會發(fā)現企業(yè)將所有簡單的服務器(比如用于開發(fā)的機器以及DNS等低風險的內部IT應用程序)進行了虛擬化處理，卻沒有對生產環(huán)境的應用程序進行虛擬化處理。

　　造成虛擬化停滯的原因有多方面，但是重要的一個原因是安全。實際上，安全小組沒有把握，不知道如何將為物理環(huán)境設計的安全做法搬到虛擬化環(huán)境。盡管存在這樣的困惑，但方向很明確：必須更新安全做法，才能打破虛擬化停滯僵局。

　　下面是安全部門走向虛擬化未來時面臨的三個最常見的問題：

　　一、對網絡流量缺乏了解。

　　許多安全部門監(jiān)控網絡流量，以便識別和阻止惡意流量和企圖滲透的活動。安全廠商們?yōu)榇送瞥隽藢ｉT的硬件設備，可以進行監(jiān)控，以減小安裝和配置工作的難度。這些硬件設備可以就像另一臺服務器那樣安裝到網絡上;只需要幾小時或幾天就能以安裝并運行起來。這種硬件設備方法簡化了安全做法，對處于困境的安全小組和IT運營小組來說是莫大的福音。

　　不過在虛擬化環(huán)境下，這種方法存在一個問題。同一臺服務器上的多個虛擬機通過虛擬機管理程序的內部網絡來聯(lián)系，并沒有數據包流經物理網絡——而安全硬件設備就位于物理網絡上，隨時準備監(jiān)測數據包。當然，如果虛擬機駐留在不同的服務器上，虛擬機之間的流量就會跨網絡傳送，那樣就可以接受檢查了。不過，出于性能方面的考慮，與同一應用程序相關的多個虛擬機(如某個應用程序的Web服務器和數據庫服務器)常常放在同一臺物理服務器上。

　　幸好，廠商們已挺身而出，積極解決這個問題。虛擬化技術廠商們提供了連接到虛擬機管理程序的軟件接口，思科和Arista等網絡廠商們已經在使用這些軟件接口，與虛擬交換機集成起來，進而能夠檢查流量。所以，這個問題并非無法克服，不過它的確需要對現有的網絡交換方法進行升級，還需要使用與這種更新的計算模式集成起來的安全產品。換句話說，這需要投入更多的資金。但是僅僅對網絡流量缺乏了解絕不是企業(yè)推遲對生產環(huán)境的應用程序進行虛擬化處理的理由。

　　二、影響性能的安全開銷。

　　在單單一臺服務器上支持多個虛擬機的好處對于服務器制造商自己來說已經變得很明顯，為此它們相應改動了自己的服務器設計。不像以前的1U比薩盒服務器也許只能支持四五個虛擬機，今天的4U刀片服務器配備了數百GB的內存和大量的網卡。因而，現在服務器通常能夠支招25個或50個虛擬機。成本效益和利用率很高，但是在單單一臺服務器上運行如此多的虛擬機會帶來其他問題。

　　一個常見的問題歸因于每臺服務器管理自己的安全產品。一個典型例子就是反病毒軟件。在許多IT部門，每臺服務器每天同時更新自己的反病毒特征文件，因而導致25或50個虛擬機同時開始進行一樣的操作。這拖累了服務器，因而導致吞吐量比較低。

　　幸好，現在市面上有新的技術解決方案。首先，正如虛擬化技術廠商提供了應用編程接口(API)，讓網絡廠商們可以與虛擬機管理程序集成起來，它們現在還提供專門的API，讓安全公司們可以推出不需要安裝到每一個虛擬機上的新產品。相反，這些產品本身就是虛擬機。

　　當虛擬機管理程序認識到需要調用反病毒軟件(比如要求訪問在打開之前必須先瀏覽的文檔)的流量時，它會把這個調用轉發(fā)到虛擬機上的反病毒軟件，由虛擬機來執(zhí)行掃描。一個虛擬機代表所有25個虛擬機運行反病毒掃描，而不是25個虛擬機運行各自的反病毒掃描——這顯然是一種更好的方法。

　　你可能也猜到了，第二個方法是基于云。面對對文檔進行重復性反病毒掃描這樣的任務——需要分發(fā)數百份或數千份(可能甚至數百萬份)反病毒特征文件，何不讓成千上萬的端點訪問一款放在中央位置的、基于云的解決方案呢?提供商能確保自己有足夠的資源來處理所有流量，而用戶避免了性能問題，又不必把更多的資本投入到安全軟件上。這種方法帶來了顯著效益，我們在不遠的將來會聽到基于云的安全方案方面的更多動靜。

　　三、安全邊界遭破壞。

　　今年1月，我在華盛頓出席了首屆安全威脅大會。會議的一個主題是，以為自己的安全邊界牢不可破是愚蠢的想法。有組織犯罪團伙的興起以及政府資助的黑客的出現，意味著不法分子針對感興趣的目標發(fā)起了手段極其高明的攻擊。

　　互聯(lián)網安全聯(lián)盟(Internet Security Alliance)的首席執(zhí)行官Larry Clinton提供了一些駭人的統(tǒng)計數據，關于目前的安全威脅以及它們對如今IT做法的影響。簡而言之，目前的安全方法都不夠有效。要是不法分子將目光移向貴企業(yè)，就會設法進入到你的網絡上。他們能夠安裝持續(xù)相當長時間的僵尸程序，可以仔細翻查你的服務器，查找和竊取重要數據。這些不法分子采用的手法歸于“高級持續(xù)性威脅”(簡稱APT)這一類攻擊。

　　那該怎么辦呢?

　　當然，一個辦法就是整合一層新的安全產品——這種產品專門用來對付APT。新老廠商隨時準備向你銷售針對APT的產品。我不會拒絕考慮這種方法，但是我對這種威脅的看法是，它無異中加大了安全做法在單臺服務器或單個虛擬機層面的重要性——換句話說，就是實例層面的安全。你絕對應該運行完整性監(jiān)控，并且使用機載入侵預防系統(tǒng)。

　　當然，把這些產品放到每一個虛擬機上的做法與“把安全移到虛擬機外面”的做法相沖突，但是一種更合理的想法是，只能在虛擬機上執(zhí)行的安全機制應該放在虛擬機上執(zhí)行，而可以在幾個虛擬機之間共享的安全機制應該遷移到某個中央位置。沒有十全十美的解決之道，但是安全向來需要權衡利弊，不是嗎?

　　結束語

　　虛擬化技術帶來的經濟意義意味著，這種計算模式可能會變得很廣泛。就因為目前的安全做法未得到支持而試圖抵御這項技術廣泛應用，就好比試圖逆潮流而行，那是徒勞無益的。

　　譯文來源： http://www.itworld.com/security/256612/3-key-issues-secure-virtualization