一方面,虛擬化平臺讓創(chuàng)建和配置服務(wù)器和應(yīng)用軟件比物理機統(tǒng)治的時代要更加簡單和快速����。另一方面,物理領(lǐng)域中應(yīng)用的安全工具和實踐在虛擬機大行其道的今天已經(jīng)不再適用��。
數(shù)據(jù)中心網(wǎng)絡(luò)周期是重要的安全界線�。但數(shù)據(jù)中心內(nèi)部由X86服務(wù)器虛擬化所帶來的質(zhì)量和數(shù)量上的變化,正對網(wǎng)絡(luò)周期的物理特性產(chǎn)生著潛移默化的影響��。
首先���,虛擬機的蔓延讓數(shù)據(jù)中心面臨的壓力日益嚴重�����。為物理系統(tǒng)上運行的應(yīng)用軟件創(chuàng)建安全方針并非易事�。如今配置一臺新服務(wù)器所需的時間從周縮短為小時,網(wǎng)絡(luò)安全人員必須馬上部署安全保障���,確保系統(tǒng)數(shù)據(jù)不會遭受木馬入侵和泄露��。
其次����,數(shù)據(jù)中心面臨的安全壓力還來自于數(shù)據(jù)中心內(nèi)部系統(tǒng)的快速遷移��。虛擬機在物理機之間進行遷移時��,與虛擬機相關(guān)的安全協(xié)議和資源保護如何遷移是個問題����。
增加數(shù)據(jù)中心物理服務(wù)器的數(shù)量是一種單調(diào)乏味的方式。除此之外�����,硬件系統(tǒng)必須在物理上與網(wǎng)絡(luò)相連接��,這就意味著那些沒有訪問過網(wǎng)絡(luò)設(shè)備配置而缺乏相關(guān)知識的系統(tǒng)管理員就必須向其他的IT人員求助�。
這樣的話,我們就必須在這個流程中安排兩到三個職能部門來關(guān)注新系統(tǒng)的運行��。如果實施了虛擬化���,我們可能只需要一名IT技術(shù)人員在幾分鐘內(nèi)在虛擬交換機上就能完成新系統(tǒng)的配備����。面對IT基礎(chǔ)架構(gòu)復(fù)雜而脆弱的現(xiàn)狀����,這成為亟待解決的問題。
如何改變IT基礎(chǔ)架構(gòu)的現(xiàn)狀��,如何提高虛擬世界的安全性是IT管理者必須關(guān)心和考慮的問題����。問題的答案莫衷一是,目前還沒有哪款產(chǎn)品或者戰(zhàn)略能成為讓問題迎刃而解的最佳方案�����。
不過一些逐步成熟的實踐方法正在演變成為引導(dǎo)未來發(fā)展方向的趨勢�。
傳統(tǒng)的安全工具生產(chǎn)廠商開始為虛擬世界打造適合他們的產(chǎn)品。微軟公司在經(jīng)歷了人們對Windows操作系統(tǒng)安全漏洞長達十年的質(zhì)疑和詬病后�����,又面臨虛擬化產(chǎn)品安全保障的難題。除此之外����,VMware公司作為虛擬化領(lǐng)域的龍頭先鋒,也在應(yīng)用編程接口的基礎(chǔ)上推進VMsafe來保證他們虛擬化平臺的安全運行���。
防火墻���,入侵防御系統(tǒng)和連接物理系統(tǒng)的虛擬局域網(wǎng)都需要開發(fā)和維護。然而這些系統(tǒng)的功能必須遷移到連接虛擬機的虛擬網(wǎng)絡(luò)的內(nèi)部�����。通常虛擬網(wǎng)絡(luò)是使用虛擬交換機創(chuàng)建的��,這些虛擬交換機和虛擬機一起駐留在物理系統(tǒng)上運行的管理程序頂部���。
如今為了安全起見�,我們需要對虛擬機間的流量進行監(jiān)控��。一旦開始運行��,虛擬機流量就會返回虛擬網(wǎng)絡(luò)����。當我們想要提高虛擬機的運行能力時,就有可能導(dǎo)致網(wǎng)絡(luò)運行的瓶頸����。
采用綜合解決方案也能將虛擬機和他們安裝的物理系統(tǒng)綁定,如果虛擬機遷移到不同的物理主機時�����,除非設(shè)計精巧的物理系統(tǒng)能支持這種遷移�。使用這種方法會面臨很多問題,我們甚至無法說清這么做的原因����。
第一個問題是,采用綜合解決方案要取決于目前的系統(tǒng)架構(gòu)����,服務(wù)器必須始終在線直到它們停機或退役。必要的情況下安全產(chǎn)品要開發(fā)靜態(tài)的方案來理清系統(tǒng)的物理和邏輯連接�����。
在物理工具方面,還需要考慮與網(wǎng)絡(luò)脆弱的靜態(tài)模式相關(guān)的網(wǎng)絡(luò)協(xié)議�。坦率的說,我們可以看到數(shù)據(jù)中心變化的速度之快已經(jīng)讓IT管理者應(yīng)接不暇����,IT管理者應(yīng)用傳統(tǒng)IT安全工具的能力已經(jīng)無法跟上虛擬世界的發(fā)展步伐。
虛擬機的蔓延讓安全協(xié)議必須要適應(yīng)這個現(xiàn)實���。隨著數(shù)據(jù)中心虛擬機的數(shù)量不斷增加�����,很可能IT管理者需要增加安全人員的數(shù)量和加強專業(yè)技能的培訓(xùn)����,來專門致力于安全協(xié)議的創(chuàng)建和維護�����。要想訪問所需的資源就需要了解系統(tǒng)定義的安全協(xié)議����。 正如我們所描述的,虛擬機技術(shù)的前提和目前的實行都為安全協(xié)議的發(fā)展制造了難題。
設(shè)想一下任何軟件要裝入系統(tǒng)都會增加系統(tǒng)的風險性���。從理論上我同意這個觀點,管理程序誕生至今所經(jīng)歷的時間還相對短暫���,但管理程序已經(jīng)證明它比任何其他應(yīng)用軟件都安全的多�,尤其是Windows操作系統(tǒng)����。
管理程序平臺上獨立的虛擬機環(huán)境是實現(xiàn)物理機向虛擬服務(wù)器整合高比例的關(guān)鍵。作為一款副產(chǎn)品管理程序的運行比在同樣物理服務(wù)器上運行的其他應(yīng)用軟件都要安全很多����。將有不同安全需求的虛擬機放在同樣的物理主機上運行,需要最佳的實踐方針作為指導(dǎo)���。很多企業(yè)可能只想保留處理常規(guī)數(shù)據(jù)的虛擬機����,諸如信用卡信息等類似信息放在物理系統(tǒng)上�。可能更好的辦法是將系統(tǒng)功能放在一邊�����,讓安全價值相對較低的系統(tǒng)集合在一起,針對物理系統(tǒng)上高價值的虛擬機重點關(guān)注高可用性的設(shè)計���。給這些高價值的系統(tǒng)分配安全資源���,比如針對這些系統(tǒng)開發(fā)安全協(xié)議等。
在此我們也介紹一下虛擬化平臺廠商安全產(chǎn)品的開發(fā)����。今年二月,VMware推出VMsafe�,意在改進虛擬基礎(chǔ)架構(gòu)的安全運行,幫助企業(yè)減少虛擬資源的浪費�����。
VMsafe是VMware公司研發(fā)的API工具����,能讓第三方廠商監(jiān)控和控制虛擬機的網(wǎng)絡(luò)流量,還能監(jiān)控服務(wù)器上每個虛擬機的數(shù)據(jù)���。這些數(shù)據(jù)可以供安全廠商使用來進行安全分析��,而無需進入網(wǎng)絡(luò)或者虛擬機����。VMsafe的設(shè)計讓用戶使用較少的主機資源,簡化和優(yōu)化安全解決方案���,為主機和網(wǎng)絡(luò)安全提供全面保障。VMsafe技術(shù)目前處于蓄勢待發(fā)的初級階段�����。
賽門鐵克����、McAfee和其他第三方安全工具制造商也在進行安全產(chǎn)品的早期開發(fā)。IT管理者應(yīng)該密切關(guān)注這一領(lǐng)域的最新發(fā)展��。通過對微軟Hyper-V管理程序最近的試用���,我們發(fā)現(xiàn)安全性已經(jīng)從原來的附加功能成為公司著重強調(diào)的核心特性���,微軟在每個月的第二個星期二會發(fā)布安全產(chǎn)品補丁。在Hyper-V產(chǎn)品線和最新發(fā)布的Application Virtualization產(chǎn)品中��,微軟在產(chǎn)品的核心部分設(shè)置了安全運行特性。
