【51CTO 3月14號(hào)外電】隨著虛擬化技術(shù)的興起，以及許多企業(yè)因此改而在單臺(tái)服務(wù)器上運(yùn)行多個(gè)虛擬機(jī)，許多這些問(wèn)題隨之消失了。

　　由于現(xiàn)在將多個(gè)虛擬機(jī)放到單單一臺(tái)服務(wù)器上，IT部門就能確保服務(wù)器的處理能力分配給了許多應(yīng)用程序。通常以個(gè)位數(shù)來(lái)衡量的利用率現(xiàn)在可以提高到70%，甚至更高，確保了浪費(fèi)在成本高、利用率低的服務(wù)器上的資本少得多。

　　向虛擬化技術(shù)轉(zhuǎn)變的潮流帶來(lái)了有時(shí)所謂的“虛擬化停滯”(virtualization stall)，這也絕非什么秘密。這個(gè)問(wèn)題是指，許多企業(yè)對(duì)25%左右的服務(wù)器進(jìn)行虛擬化處理后，就停滯不前了。

　　如果你分析一下為什么會(huì)出現(xiàn)這個(gè)問(wèn)題，通常會(huì)發(fā)現(xiàn)企業(yè)將所有簡(jiǎn)單的服務(wù)器(比如用于開發(fā)的機(jī)器以及DNS等低風(fēng)險(xiǎn)的內(nèi)部IT應(yīng)用程序)進(jìn)行了虛擬化處理，卻沒(méi)有對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理。

　　造成虛擬化停滯的原因有多方面，但是重要的一個(gè)原因是安全。實(shí)際上，安全小組沒(méi)有把握，不知道如何將為物理環(huán)境設(shè)計(jì)的安全做法搬到虛擬化環(huán)境。盡管存在這樣的困惑，但方向很明確：必須更新安全做法，才能打破虛擬化停滯僵局。

　　下面是安全部門走向虛擬化未來(lái)時(shí)面臨的三個(gè)最常見(jiàn)的問(wèn)題：

　　一、對(duì)網(wǎng)絡(luò)流量缺乏了解。

　　許多安全部門監(jiān)控網(wǎng)絡(luò)流量，以便識(shí)別和阻止惡意流量和企圖滲透的活動(dòng)。安全廠商們?yōu)榇送瞥隽藢ｉT的硬件設(shè)備，可以進(jìn)行監(jiān)控，以減小安裝和配置工作的難度。這些硬件設(shè)備可以就像另一臺(tái)服務(wù)器那樣安裝到網(wǎng)絡(luò)上;只需要幾小時(shí)或幾天就能以安裝并運(yùn)行起來(lái)。這種硬件設(shè)備方法簡(jiǎn)化了安全做法，對(duì)處于困境的安全小組和IT運(yùn)營(yíng)小組來(lái)說(shuō)是莫大的福音。

　　不過(guò)在虛擬化環(huán)境下，這種方法存在一個(gè)問(wèn)題。同一臺(tái)服務(wù)器上的多個(gè)虛擬機(jī)通過(guò)虛擬機(jī)管理程序的內(nèi)部網(wǎng)絡(luò)來(lái)聯(lián)系，并沒(méi)有數(shù)據(jù)包流經(jīng)物理網(wǎng)絡(luò)——而安全硬件設(shè)備就位于物理網(wǎng)絡(luò)上，隨時(shí)準(zhǔn)備監(jiān)測(cè)數(shù)據(jù)包。當(dāng)然，如果虛擬機(jī)駐留在不同的服務(wù)器上，虛擬機(jī)之間的流量就會(huì)跨網(wǎng)絡(luò)傳送，那樣就可以接受檢查了。不過(guò)，出于性能方面的考慮，與同一應(yīng)用程序相關(guān)的多個(gè)虛擬機(jī)(如某個(gè)應(yīng)用程序的Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器)常常放在同一臺(tái)物理服務(wù)器上。

　　幸好，廠商們已挺身而出，積極解決這個(gè)問(wèn)題。虛擬化技術(shù)廠商們提供了連接到虛擬機(jī)管理程序的軟件接口，思科和Arista等網(wǎng)絡(luò)廠商們已經(jīng)在使用這些軟件接口，與虛擬交換機(jī)集成起來(lái)，進(jìn)而能夠檢查流量。所以，這個(gè)問(wèn)題并非無(wú)法克服，不過(guò)它的確需要對(duì)現(xiàn)有的網(wǎng)絡(luò)交換方法進(jìn)行升級(jí)，還需要使用與這種更新的計(jì)算模式集成起來(lái)的安全產(chǎn)品。換句話說(shuō)，這需要投入更多的資金。但是僅僅對(duì)網(wǎng)絡(luò)流量缺乏了解絕不是企業(yè)推遲對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理的理由。

　　二、影響性能的安全開銷。

　　在單單一臺(tái)服務(wù)器上支持多個(gè)虛擬機(jī)的好處對(duì)于服務(wù)器制造商自己來(lái)說(shuō)已經(jīng)變得很明顯，為此它們相應(yīng)改動(dòng)了自己的服務(wù)器設(shè)計(jì)。不像以前的1U比薩盒服務(wù)器也許只能支持四五個(gè)虛擬機(jī)，今天的4U刀片服務(wù)器配備了數(shù)百GB的內(nèi)存和大量的網(wǎng)卡。因而，現(xiàn)在服務(wù)器通常能夠支招25個(gè)或50個(gè)虛擬機(jī)。成本效益和利用率很高，但是在單單一臺(tái)服務(wù)器上運(yùn)行如此多的虛擬機(jī)會(huì)帶來(lái)其他問(wèn)題。

　　一個(gè)常見(jiàn)的問(wèn)題歸因于每臺(tái)服務(wù)器管理自己的安全產(chǎn)品。一個(gè)典型例子就是反病毒軟件。在許多IT部門，每臺(tái)服務(wù)器每天同時(shí)更新自己的反病毒特征文件，因而導(dǎo)致25或50個(gè)虛擬機(jī)同時(shí)開始進(jìn)行一樣的操作。這拖累了服務(wù)器，因而導(dǎo)致吞吐量比較低。

　　幸好，現(xiàn)在市面上有新的技術(shù)解決方案。首先，正如虛擬化技術(shù)廠商提供了應(yīng)用編程接口(API)，讓網(wǎng)絡(luò)廠商們可以與虛擬機(jī)管理程序集成起來(lái)，它們現(xiàn)在還提供專門的API，讓安全公司們可以推出不需要安裝到每一個(gè)虛擬機(jī)上的新產(chǎn)品。相反，這些產(chǎn)品本身就是虛擬機(jī)。

　　當(dāng)虛擬機(jī)管理程序認(rèn)識(shí)到需要調(diào)用反病毒軟件(比如要求訪問(wèn)在打開之前必須先瀏覽的文檔)的流量時(shí)，它會(huì)把這個(gè)調(diào)用轉(zhuǎn)發(fā)到虛擬機(jī)上的反病毒軟件，由虛擬機(jī)來(lái)執(zhí)行掃描。一個(gè)虛擬機(jī)代表所有25個(gè)虛擬機(jī)運(yùn)行反病毒掃描，而不是25個(gè)虛擬機(jī)運(yùn)行各自的反病毒掃描——這顯然是一種更好的方法。

　　你可能也猜到了，第二個(gè)方法是基于云。面對(duì)對(duì)文檔進(jìn)行重復(fù)性反病毒掃描這樣的任務(wù)——需要分發(fā)數(shù)百份或數(shù)千份(可能甚至數(shù)百萬(wàn)份)反病毒特征文件，何不讓成千上萬(wàn)的端點(diǎn)訪問(wèn)一款放在中央位置的、基于云的解決方案呢?提供商能確保自己有足夠的資源來(lái)處理所有流量，而用戶避免了性能問(wèn)題，又不必把更多的資本投入到安全軟件上。這種方法帶來(lái)了顯著效益，我們?cè)诓贿h(yuǎn)的將來(lái)會(huì)聽(tīng)到基于云的安全方案方面的更多動(dòng)靜。

　　三、安全邊界遭破壞。

　　今年1月，我在華盛頓出席了首屆安全威脅大會(huì)。會(huì)議的一個(gè)主題是，以為自己的安全邊界牢不可破是愚蠢的想法。有組織犯罪團(tuán)伙的興起以及政府資助的黑客的出現(xiàn)，意味著不法分子針對(duì)感興趣的目標(biāo)發(fā)起了手段極其高明的攻擊。

　　互聯(lián)網(wǎng)安全聯(lián)盟(Internet Security Alliance)的首席執(zhí)行官Larry Clinton提供了一些駭人的統(tǒng)計(jì)數(shù)據(jù)，關(guān)于目前的安全威脅以及它們對(duì)如今IT做法的影響。簡(jiǎn)而言之，目前的安全方法都不夠有效。要是不法分子將目光移向貴企業(yè)，就會(huì)設(shè)法進(jìn)入到你的網(wǎng)絡(luò)上。他們能夠安裝持續(xù)相當(dāng)長(zhǎng)時(shí)間的僵尸程序，可以仔細(xì)翻查你的服務(wù)器，查找和竊取重要數(shù)據(jù)。這些不法分子采用的手法歸于“高級(jí)持續(xù)性威脅”(簡(jiǎn)稱APT)這一類攻擊。

　　那該怎么辦呢?

　　當(dāng)然，一個(gè)辦法就是整合一層新的安全產(chǎn)品——這種產(chǎn)品專門用來(lái)對(duì)付APT。新老廠商隨時(shí)準(zhǔn)備向你銷售針對(duì)APT的產(chǎn)品。我不會(huì)拒絕考慮這種方法，但是我對(duì)這種威脅的看法是，它無(wú)異中加大了安全做法在單臺(tái)服務(wù)器或單個(gè)虛擬機(jī)層面的重要性——換句話說(shuō)，就是實(shí)例層面的安全。你絕對(duì)應(yīng)該運(yùn)行完整性監(jiān)控，并且使用機(jī)載入侵預(yù)防系統(tǒng)。

　　當(dāng)然，把這些產(chǎn)品放到每一個(gè)虛擬機(jī)上的做法與“把安全移到虛擬機(jī)外面”的做法相沖突，但是一種更合理的想法是，只能在虛擬機(jī)上執(zhí)行的安全機(jī)制應(yīng)該放在虛擬機(jī)上執(zhí)行，而可以在幾個(gè)虛擬機(jī)之間共享的安全機(jī)制應(yīng)該遷移到某個(gè)中央位置。沒(méi)有十全十美的解決之道，但是安全向來(lái)需要權(quán)衡利弊，不是嗎?

　　結(jié)束語(yǔ)

　　虛擬化技術(shù)帶來(lái)的經(jīng)濟(jì)意義意味著，這種計(jì)算模式可能會(huì)變得很廣泛。就因?yàn)槟壳暗陌踩龇ㄎ吹玫街С侄噲D抵御這項(xiàng)技術(shù)廣泛應(yīng)用，就好比試圖逆潮流而行，那是徒勞無(wú)益的。

　　譯文來(lái)源： http://www.itworld.com/security/256612/3-key-issues-secure-virtualization