盡管虛擬化使新工作負(fù)載部署變得簡(jiǎn)單起來，但虛擬服務(wù)器卻面臨著安全性及合規(guī)性問題。實(shí)際上，為某些組織帶來虛擬化價(jià)值的很多功能特性卻給其他組織帶來了問題。本月我們向咨詢委員會(huì)詢問了當(dāng)前虛擬數(shù)據(jù)中心在安全性以及合規(guī)性上面臨的最大的挑戰(zhàn)有哪些，以及如何應(yīng)對(duì)這些挑戰(zhàn)。

[[110783]]

Maish Saidel-Keesing, Cisco Video Technologies Israel

以前如果你想創(chuàng)建一個(gè)新負(fù)載，需要提出采購(gòu)請(qǐng)求，提出服務(wù)器的規(guī)格要求，在采購(gòu)后完成安裝調(diào)試。目前自服務(wù)是主旋律，只要點(diǎn)幾下按鈕就行了。

簡(jiǎn)便性帶來了對(duì)虛擬服務(wù)器安全性的關(guān)注。在過去IT對(duì)工作負(fù)載的部署位置以及如何被保護(hù)擁有控制權(quán)?，F(xiàn)在對(duì)公司提供安全性保護(hù)同時(shí)仍舊能夠自由、靈活的完成工作是個(gè)問題。

當(dāng)前保護(hù)數(shù)據(jù)最大的關(guān)注點(diǎn)是使用方便。

如何解決這一潛在的安全性問題?完全限制最終用戶不是個(gè)解決方案。如果IT采用該方式，最終用戶將會(huì)完全繞過IT，轉(zhuǎn)向外部服務(wù)商，然后IT就會(huì)失去控制了。

我認(rèn)為解決方案應(yīng)該是在IT與最終用戶之間找到教育與協(xié)作的結(jié)合點(diǎn)。確保最終用戶對(duì)公司的信息負(fù)責(zé)并確保信息安全是保護(hù)公司數(shù)據(jù)的關(guān)鍵所在。

Jack Kaiser, Focus Technology Solutions

本月我就這個(gè)問題咨詢了CTO Bill Smeltzer。

“當(dāng)前虛擬數(shù)據(jù)中心面臨的一大挑戰(zhàn)就是工作負(fù)載細(xì)分。當(dāng)我們持續(xù)將工作負(fù)載遷移到通用的基礎(chǔ)設(shè)施之上，開始混合之前孤立在物理數(shù)據(jù)中心內(nèi)的不同負(fù)載。過去我們將面向公眾的服務(wù)器放在單獨(dú)的網(wǎng)絡(luò)中，通過防火墻與其他服務(wù)器進(jìn)行隔離。這很容易實(shí)現(xiàn)因?yàn)樵趥鹘y(tǒng)的數(shù)據(jù)中心內(nèi)每臺(tái)物理服務(wù)器將會(huì)連接到適宜的網(wǎng)絡(luò)。”

“在虛擬數(shù)據(jù)中心，物理服務(wù)器運(yùn)行多個(gè)工作負(fù)載并共享通用的網(wǎng)絡(luò)接口。當(dāng)工作負(fù)載在不同的物理機(jī)之間遷移時(shí)記錄網(wǎng)絡(luò)規(guī)則及設(shè)置變得很困難。在對(duì)安全性非常關(guān)注的環(huán)境中，審計(jì)以及確保合規(guī)性變得越來越困難。軟件定義的網(wǎng)絡(luò)通過直接在工作負(fù)載或者虛擬機(jī)而不是網(wǎng)絡(luò)設(shè)備上應(yīng)用網(wǎng)絡(luò)安全性為緩解對(duì)虛擬服務(wù)器安全性的關(guān)注提供了幫助。使用軟件定義的網(wǎng)絡(luò)，無(wú)論工作負(fù)載如何移動(dòng)，我們都能夠確保足夠的安全性，為實(shí)現(xiàn)合規(guī)性提供幫助。”

Jason Helmick, Concentrated Technology LLC

所有的IT專家都能夠構(gòu)建并部署一臺(tái)安全的服務(wù)器以滿足公司對(duì)合規(guī)性的要求。這不是什么問題。已經(jīng)有工具能夠幫助你交付針對(duì)安全性以及合規(guī)性的升級(jí)，這也沒什么問題。真正的問題是確保服務(wù)器以及客戶端始終符合規(guī)范，配置符合要求。

有很多其他的系統(tǒng)管理員在訪問并修改服務(wù)器，將會(huì)出現(xiàn)非合規(guī)性(沒有采用期望的軟件配置及安全性設(shè)置等等)。一旦放虎歸山，很難再把它關(guān)回到籠子里。

如果提前做了規(guī)劃，就能夠避免該問題。沒有特別的推薦工具，Unix/Linux用戶一直在使用工具比如Puppet、Chef來對(duì)系統(tǒng)進(jìn)行檢查以確保滿足特定的配置要求以及規(guī)范、指南的集合。如果你有Unix/Linux服務(wù)器，可能已經(jīng)使用過上述工具了。

盡管像微軟的Window Intune這樣的工具能夠提供幫助，但Windows在這方面一直落后。Windows操作系統(tǒng)通過PowerShell V4 引入的一個(gè)新技術(shù)開始提供你所需要的解決方案。特定狀態(tài)配置(DSC)是該版塊的新產(chǎn)品，但能夠提供你一直期待的自動(dòng)化以及毫不費(fèi)力的控制。

確保合規(guī)性及安全性的一個(gè)關(guān)鍵之處就是把所有的老虎關(guān)進(jìn)籠子里并且不會(huì)隨著時(shí)間的推移有所放松、退化。如果你在使用Windows，可以了解下DSC。DSC是一門新技術(shù)而且可能還不能滿足所有的需求，但是社區(qū)一直在推動(dòng)DSC的發(fā)展，因此自動(dòng)實(shí)現(xiàn)服務(wù)器特定狀態(tài)并持續(xù)保持變?yōu)榱爽F(xiàn)實(shí)。通過避免人為錯(cuò)誤并采取所期望的安全性設(shè)置將能夠改進(jìn)虛擬服務(wù)器的安全性及合規(guī)性。