適當(dāng)?shù)囊?guī)劃，包括安全設(shè)施的規(guī)劃，將使您在部署虛擬化和確保業(yè)務(wù)連續(xù)性和保護(hù)企業(yè)數(shù)據(jù)中獲得收益。

在當(dāng)前艱難的大環(huán)境下，關(guān)于通過(guò)部署虛擬化來(lái)實(shí)現(xiàn)潛在的節(jié)約成本的承諾絕對(duì)是不容忽視的。IT團(tuán)隊(duì)理解的概念是通過(guò)鞏固虛擬化部署取得更好的硬件利用率、增加靈活性、提高管理能力。然而，在許多情況下，虛擬環(huán)境的項(xiàng)目的障礙往往只有網(wǎng)絡(luò)和數(shù)據(jù)安全問(wèn)題才會(huì)引起關(guān)注。在一個(gè)新的環(huán)境中，安全問(wèn)題始終是一個(gè)重要的考慮因素，但虛擬化的安全問(wèn)題往往由于缺乏知識(shí)或參與虛擬化項(xiàng)目而遭到反對(duì)。通過(guò)適當(dāng)?shù)囊?guī)劃和參與部署，關(guān)于安全問(wèn)題的反對(duì)意見(jiàn)可以被轉(zhuǎn)移消化。

一個(gè)爭(zhēng)論最為激烈的話題來(lái)自hypervisor的escape命令。在這種情況下，有可能從一個(gè)單一的已經(jīng)受損的虛擬機(jī)直接攻擊hypervisor。如果成功的話，攻擊者將可以在所有的虛擬機(jī)上運(yùn)行該服務(wù)器。

今天，這種類型的攻擊僅僅是理論上的，但考慮到虛擬軟件始終有其缺陷，故這種攻擊理論是合理的。然而，作為一種反對(duì)虛擬化的觀點(diǎn)，保證這種現(xiàn)象永遠(yuǎn)不會(huì)發(fā)生的可能性相對(duì)較低。攻擊可在數(shù)據(jù)中心、亦或虛擬化設(shè)備。這些更可能由于缺少操作系統(tǒng)補(bǔ)丁，來(lái)自簡(jiǎn)單的錯(cuò)誤或接觸，而不是通過(guò)一次成功的hypervisor escape命令。

理論上的escape命令不需要使用相同的標(biāo)準(zhǔn)和數(shù)據(jù)業(yè)務(wù)臨界敏感性界定安全問(wèn)題的最佳做法來(lái)盡量減少虛擬網(wǎng)絡(luò)。換言之，虛擬化并不能自動(dòng)等同于“把所有的雞蛋放在一個(gè)籃子里?！闭_的分割，一方面結(jié)合物理和虛擬分割，能產(chǎn)生固體區(qū)分割關(guān)鍵工作量。虛擬的網(wǎng)絡(luò)分割允許部署不同的敏感性程度的訪客共享基礎(chǔ)設(shè)施，執(zhí)行政策分割(無(wú)需物理硬件)，同時(shí)還可以更好地利用計(jì)算機(jī)的資源共享。

今天，虛擬分割可以通過(guò)一系列的虛擬安全設(shè)備來(lái)實(shí)現(xiàn)，區(qū)別更多的是他們的管理辦法和用戶界面而非實(shí)施分割的技術(shù)。VMware公司即將推出的VMsafe API使安全廠商提供的產(chǎn)品能以更優(yōu)化的方式分割和保護(hù)網(wǎng)絡(luò)。想象一下，全面的網(wǎng)絡(luò)政策必將給客戶全新的書(shū)寫功能，并且不論虛擬基礎(chǔ)設(shè)施的地點(diǎn)強(qiáng)制執(zhí)行。良好的分割網(wǎng)絡(luò)將有助于防止今天的現(xiàn)實(shí)威脅和明天的理論威脅。

另一個(gè)主要的反對(duì)意見(jiàn)也是關(guān)于虛擬化的優(yōu)勢(shì)：靈活性。虛擬數(shù)據(jù)中心是一個(gè)充滿活力的環(huán)境。它提供了方便的虛擬機(jī)部署和轉(zhuǎn)化為一種環(huán)境的配置變化，能夠快速適應(yīng)業(yè)務(wù)需求。在一個(gè)虛擬數(shù)據(jù)中心，管理員可以很輕松的部署和克隆的虛擬機(jī)，遷移客戶到其他服務(wù)器，并改變資源(CPU、內(nèi)存、硬盤)。另一方面，這樣的環(huán)境下，惡意或意外的行動(dòng)可以產(chǎn)生深遠(yuǎn)的影響和潛在的破壞性后果。動(dòng)態(tài)和迅速變化可能導(dǎo)致風(fēng)險(xiǎn)增加，無(wú)法跟蹤虛擬機(jī)(如虛擬擴(kuò)張)，或防范業(yè)務(wù)政策的行為。

例如，在簡(jiǎn)單的情況下發(fā)生意外的錯(cuò)誤，一個(gè)重要的Web服務(wù)器的網(wǎng)絡(luò)接口通過(guò)改變一個(gè)VLAN的ID和連接丟失映射到錯(cuò)誤的物理網(wǎng)絡(luò)。確定這個(gè)簡(jiǎn)單錯(cuò)誤的根源可能非常費(fèi)時(shí)。大量的管理人員，沒(méi)有實(shí)際的電纜追查，成千上萬(wàn)的訪客和許多同樣名的虛擬網(wǎng)絡(luò)，要發(fā)現(xiàn)違規(guī)的配置并將其更改成為虛擬機(jī)，就如同大海撈針一樣。

遏制不斷變化的環(huán)境的最有效的方式是通過(guò)加強(qiáng)現(xiàn)有的業(yè)務(wù)政策，提供更深入地了解虛擬和物理網(wǎng)絡(luò)。經(jīng)驗(yàn)豐富的IT專業(yè)人士都知道，政策是唯一和制定好的規(guī)則一樣有效的措施。

為了確保政策得到執(zhí)行，部署相關(guān)的工具，可以監(jiān)視，跟蹤和審計(jì)虛擬環(huán)境的部署。然而，要真正有效，這些工具還必須提供可視化，同時(shí)“跟蹤”需要了解虛擬機(jī)如何以及在何處正在部署。他們必須建立一個(gè)審計(jì)證據(jù)的記錄：關(guān)于誰(shuí)管理這些機(jī)器和對(duì)虛擬機(jī)和虛擬基礎(chǔ)設(shè)施執(zhí)行了那些變化。有了這樣的審計(jì)工具的情況下，由簡(jiǎn)單的配置錯(cuò)誤所造成的停電，以及上文所述的問(wèn)題都可追溯，并迅速糾正了。

最后一個(gè)反對(duì)部署虛擬化的安全問(wèn)題源于信息安全部門在規(guī)劃虛擬化部署時(shí)缺乏列入或?qū)徸h。所以在一開(kāi)始討論部署時(shí)就讓這些反對(duì)者參與討論是至關(guān)重要的。在許多情況下，反對(duì)者是由于對(duì)虛擬化和可用的選項(xiàng)了解有限。

情況可能會(huì)被現(xiàn)有的網(wǎng)絡(luò)安全性和可視性的工具不能提供虛擬網(wǎng)絡(luò)同樣的詳細(xì)資料變得復(fù)雜。在傳統(tǒng)情況下，非虛擬的網(wǎng)絡(luò)有可能采取服務(wù)器清單、追查電纜并使用基于網(wǎng)絡(luò)的工具，以發(fā)現(xiàn)網(wǎng)絡(luò)和服務(wù)器。一旦實(shí)現(xiàn)虛擬化，大部分的功能會(huì)喪失。虛擬化使得建立網(wǎng)絡(luò)的現(xiàn)有工具有可能根本無(wú)法看到。

虛擬安全設(shè)備提供網(wǎng)絡(luò)級(jí)的情報(bào)可以填補(bǔ)遺產(chǎn)工具留下的空白。虛擬化的另一個(gè)好處是使這些設(shè)備提供高度準(zhǔn)確的網(wǎng)絡(luò)地圖和客戶訪問(wèn)記錄，而不采用被動(dòng)網(wǎng)絡(luò)發(fā)現(xiàn)方法。有了合適的工具，實(shí)際上可以在虛擬環(huán)境更有效地實(shí)現(xiàn)可視化和庫(kù)存準(zhǔn)確性。

雖然hypervisor的供應(yīng)商可以提供一些基本的可視化管理工具，這些工具是專為虛擬管理員設(shè)計(jì)的，這些工具可以提供對(duì)整個(gè)環(huán)境和目前的安全現(xiàn)狀的整體可視性控制，在這方面將確定安全維護(hù)團(tuán)隊(duì)需要履行的職責(zé)，保護(hù)他們的基礎(chǔ)設(shè)施。

一個(gè)簡(jiǎn)單的教訓(xùn)是，虛擬化像任何新技術(shù)一樣，將受到自身安全性的挑戰(zhàn)。但是，通過(guò)適當(dāng)?shù)囊?guī)劃和協(xié)調(diào)一致的努力，使安全問(wèn)題成為規(guī)劃過(guò)程的一部分，將有可能從虛擬化的部署中獲益，以確保業(yè)務(wù)的連續(xù)性并保護(hù)企業(yè)數(shù)據(jù)。

【編輯推薦】

1. CIO五項(xiàng)注意 不要給虛擬化留下安全漏洞!
2. SVM5：存儲(chǔ)虛擬化的新強(qiáng)者
3. 大幅節(jié)約成本 桌面虛擬化必將普及