在2008年拉斯維加斯的黑帽安全會(huì)議上，筆者展示了歷時(shí)兩年的安全研究結(jié)果，其《虛擬化(安全)啟示錄四騎士》試圖讓觀眾了解虛擬化和安全相交融的過去、現(xiàn)在和未來。

這個(gè)報(bào)告?zhèn)戎赜谡故咎摂M化計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)的實(shí)際運(yùn)作是如何從根本上破壞安全性的;其“四騎士”可以歸結(jié)為：

整合物理設(shè)備功能，將它們重組作為一個(gè)整體的虛擬設(shè)備，這將會(huì)產(chǎn)生低性能的解決方案，無法擴(kuò)展，且難以管理。
如果虛擬安全解決方案沒有正確地整合虛擬平臺(tái)的安全功能及其編排系統(tǒng)，那么，性能、靈活性和可擴(kuò)展性都將受到影響。
復(fù)雜的、高度可用的虛擬安全應(yīng)用和網(wǎng)絡(luò)拓?fù)鋵⑿枰耆煌募軜?gòu)、技術(shù)和運(yùn)營(yíng)模式。
虛擬化安全可能會(huì)引導(dǎo)企業(yè)從采購(gòu)以硬件為中心的產(chǎn)品轉(zhuǎn)移到更受軟件驅(qū)動(dòng)的產(chǎn)品，同時(shí)，運(yùn)營(yíng)變化將需要徹底改革，但企業(yè)往往不太管理這些軟成本。

盡管虛擬化是為了提供更好的安全性，但虛擬化平臺(tái)供應(yīng)商普遍缺乏IT安全知識(shí)，這可能會(huì)打擊早期的部署熱情。這些供應(yīng)商沒有完全掌握運(yùn)營(yíng)模式，也無法解決網(wǎng)絡(luò)專家、安全從業(yè)人員和供應(yīng)商30多年的部署所構(gòu)建的孤島運(yùn)作障礙。同時(shí)，安全從業(yè)人員幾乎沒有虛擬化的經(jīng)驗(yàn)。

為什么早期努力不夠

在筆者進(jìn)行研究時(shí)，只有極少數(shù)傳統(tǒng)安全廠商已經(jīng)開始生產(chǎn)其物理設(shè)備的虛擬版本。這些早期解決方案并沒有被很好地融入到虛擬化平臺(tái)的“編排”工作流程或者網(wǎng)絡(luò)數(shù)據(jù)路徑，它們也不是“虛擬化感知的”。大多數(shù)解決方案幾乎不了解環(huán)境或者工作負(fù)載，它們只是被部署來提供保護(hù)。

同樣的問題也困擾著圍繞這些虛擬化部署的傳統(tǒng)物理安全，不過我們可以人為地通過外圍“咽喉要道”和架構(gòu)傳輸流量來解決這個(gè)問題，通常將虛擬化環(huán)境的流量轉(zhuǎn)向到物理設(shè)備，然后傳回來。雖然這種方法屬于“集裝箱式”且是隔離的，但這種方法使得部署和保護(hù)應(yīng)用編程低效甚至無效。

大部分新奇的虛擬安全解決方案都試圖復(fù)制非虛擬化環(huán)境的部署和運(yùn)作架構(gòu)，而缺少創(chuàng)造、部署或破壞虛擬網(wǎng)絡(luò)和工作負(fù)載的靈活性和速度。這些解決方案還缺乏可視性，并且沒有考慮這些虛擬網(wǎng)絡(luò)的不成熟性，這可能導(dǎo)致安全控制很盲目。

讓這個(gè)問題進(jìn)一步復(fù)雜化的是，供應(yīng)商沒能認(rèn)識(shí)到安全和合規(guī)團(tuán)隊(duì)曾經(jīng)用來監(jiān)控、測(cè)試和緩解威脅的設(shè)備和程序。安全供應(yīng)商的假設(shè)是，安全團(tuán)隊(duì)能夠理解這些解決方案，并將它們整合到流程。然而，操作孤島和缺乏虛擬化技巧讓這不太可能實(shí)現(xiàn)，但也不是完全不可能。工作負(fù)載的短暫性和完全移動(dòng)性，再加上構(gòu)成安全和信任的外圍模型的熟悉的物理架構(gòu)開始擴(kuò)展，這意味著需要新模型的出現(xiàn)。

很多初創(chuàng)公司開始推出專用的虛擬化感知解決方案，并在虛擬結(jié)構(gòu)中，重新構(gòu)建安全討論和圍繞安全的運(yùn)營(yíng)模式。但是，很多這種努力很快“擱淺”，主要是由于平臺(tái)供應(yīng)商試圖在本地提供安全功能，但是集成接觸點(diǎn)很糟糕。在虛擬環(huán)境中，以前負(fù)責(zé)安全的人不再控制安全政策的制定、部署和執(zhí)行。