越來越多的事情在改變……

五年后，在利用虛擬化來提供整體安全態(tài)勢方面幾乎沒什么進展。在大多數(shù)情況下，這仍然是一個連接問題，而不是服務層問題，服務層被整合到基礎設施或者直接綁定到工作負載。

供應商來來去去，很多現(xiàn)在的供應商從根本上被虛擬化運營模式打亂了。這些虛擬化/管理程序平臺供應商仍然是實現(xiàn)有效安全性的關鍵所在。(筆者認為這將會成為主流虛擬化平臺供應商***技術官的博客戰(zhàn)爭的關鍵所在，我們可能會看到安全進入虛擬環(huán)境的最糟糕用例變成現(xiàn)實)。

我們已經(jīng)花了五年時間掙扎于復雜的部署情況，其中“不適當?shù)?rdquo;整合了傳統(tǒng)的安全設備。再加上到混合模式的緩慢遷移—其中的虛擬設備遭受著“四騎士”的弊病，以及基于平臺的安全功能來實現(xiàn)無縫集成的緩慢進展和可用性，我們不難看出為什么我們還沒有看到安全生態(tài)系統(tǒng)的振興。

需要注意的是，大多數(shù)虛擬化安全解決方案(基礎設施為中心的世界觀)仍然專注于這樣的復制物理部署和設計模式：利用基于(虛擬)網(wǎng)絡的設備形成因素以及試圖集成管理程序來實現(xiàn)“虛擬化感知”。最近，云計算和“軟件定義一切”的影響正在阻止新安全模型的部署讓位給更靈活、自動化和集成的安全產品。

這在很大程度上是因為虛擬化平臺被打亂了，從基本的計算、網(wǎng)絡和服務器資源虛擬化(主要專注于管理程序作為附加價值)演變?yōu)樽詣踊摹討B(tài)的、服務為中心的云計算。這進一步轉移了重點、功能和使用這些解決方案的用戶。

在企業(yè)中，開源虛擬化和編排平臺(例如OpenStack和Apache CloudStack)的出現(xiàn)正在推動跨管理程序(超越領導供應商VMWare)提供安全的需要。

云計算將會演變?yōu)橐环N混合模型，這種模型互連著內部部署虛擬化基礎設施和類似云計算的可編程應用及服務交付平臺，以及公共云平臺中的資源，這加劇了提升和加快我們安全架構和運營做法的需要。

雖然基礎設施的安全性仍然非常重要，但這種轉變讓我們意識到，我們也需要保護應用工作負載以及它們帶來的信息。這意味著我們應較少注重傳統(tǒng)的政策執(zhí)行標準，例如IP地址和VLAN，更注重附加政策到(完全集成到這些平臺的編排系統(tǒng)的)工作負載。

這需要共同努力

老實說，如果要在虛擬環(huán)境提供受風險驅動的良好的安全和合規(guī)功能，這在很大程度上取決于對需要保護的應用和信息的了解。這包括適當?shù)乜紤]威脅模式和業(yè)務影響;調整架構和方法;平衡運營和技術的影響。虛擬化和云計算都是這些方程式中簡單的運作和部署變量。

在這里并沒有什么神奇的方法，只有一些務實的做法。

當筆者詢問IT安全經(jīng)理對于虛擬化環(huán)境中“***做法”的考慮因素時，筆者強調了提供各種解決方案的不同類型的供應商之間的復雜的相互作用：

虛擬化平臺供應商
云平臺供應商
編排平臺供應商
網(wǎng)絡平臺供應商(包括軟件定義網(wǎng)絡)
安全行業(yè)生態(tài)系統(tǒng)供應商
管理、風險和合規(guī)供應商

很多人敏銳地指出，在很多情況下，第1到第4項是由一些平臺供應商作為整合功能集在本地提供。并且，與IT中的很多事情一樣，虛擬領域的安全性需要權衡這些捆綁服務。

多種選擇和供應商戰(zhàn)略往往意味著復雜性，而單一選擇和缺乏多樣性則提供更緊密的集成和更少的移動部件。根據(jù)安全和合規(guī)企業(yè)的成熟度(以及它們與其余IT部門的集成度)，這些元素之間的緊張關系可能將控制局面或者最終帶來相當?shù)钠茐男院蜔o效性。

簡短的回答是，你需要安全作為一個普遍功能(服務)，遍布在這些組件中，并將其在良好定義的抽象的消費模式中連接在一起。