虛擬化管理員有可能為企業(yè)帶來(lái)最大的風(fēng)險(xiǎn)，我們必須要了解為什么IT經(jīng)理和主管們會(huì)任由這一潛在的安全風(fēng)險(xiǎn)野蠻生長(zhǎng)。

隨著虛擬化不斷進(jìn)入企業(yè)，傳統(tǒng)的數(shù)據(jù)中心角色正在發(fā)生變化。現(xiàn)在，企業(yè)按崗位聘用員工，形成了獨(dú)立的數(shù)據(jù)中心硬件、網(wǎng)絡(luò)、存儲(chǔ)、操作系統(tǒng)支持團(tuán)隊(duì)。盡管這些團(tuán)隊(duì)彼此交互，但員工的角色通常不會(huì)產(chǎn)生交叉，因?yàn)榧夹g(shù)領(lǐng)域?qū)⒙氊?zé)隔離開(kāi)來(lái)。隨著數(shù)據(jù)中心不斷引入虛擬化，新的角色產(chǎn)生了。虛擬化管理員——這一新角色取代了傳統(tǒng)的堆架式數(shù)據(jù)中心人員，允許企業(yè)將更大的硬件整合為更小的規(guī)模。數(shù)據(jù)中心專有的硬件角色已經(jīng)逐漸從現(xiàn)代數(shù)據(jù)中心中消失了。

多數(shù)企業(yè)中，網(wǎng)絡(luò)和存儲(chǔ)團(tuán)隊(duì)仍舊存在，并在非虛擬化環(huán)境運(yùn)作。現(xiàn)在這一狀況正在發(fā)生變化。很多年之前，VMware提出了軟件定義的數(shù)據(jù)中心，但很多人并不確定該術(shù)語(yǔ)意味著什么。VMware推出了第一個(gè)vSAN，將存儲(chǔ)轉(zhuǎn)為標(biāo)準(zhǔn)的產(chǎn)品，這和ESX服務(wù)器虛擬化類似，VMware的愿景變得更清晰了。VMware在2013年推出了其網(wǎng)絡(luò)虛擬化產(chǎn)品NSX，旨在從網(wǎng)絡(luò)硬件抽象出網(wǎng)絡(luò)層。除虛擬化管理員外，VMware將另兩大團(tuán)隊(duì)帶入了虛擬化世界。盡管企業(yè)仍可以抵制整合并保留傳統(tǒng)的專業(yè)分工，但潛在的成本及管理節(jié)約卻無(wú)法忽略。這正是虛擬化管理員成為數(shù)據(jù)中心焦點(diǎn)并可能是企業(yè)最大風(fēng)險(xiǎn)的原因所在。

安全專家指出，最大的一些安全漏洞來(lái)自內(nèi)部員工，而不是黑客。這就是為什么部門(mén)職責(zé)和訪問(wèn)如此重要的原因。然而，采用軟件定義的數(shù)據(jù)中心，我們是將所有的雞蛋放在了一個(gè)籃子中。這不是號(hào)召使用隱藏?cái)z像機(jī)對(duì)虛擬化管理員進(jìn)行監(jiān)控。畢竟，處于這種狀況并不是他的錯(cuò)。讓我們考慮一些用于幫助解決這些安全問(wèn)題的策略。

向其他團(tuán)隊(duì)開(kāi)放虛擬環(huán)境

技術(shù)團(tuán)隊(duì)可能涇渭分明，但是在當(dāng)今靈活及快節(jié)奏的軟件定義的環(huán)境中，我們要具備比以往更加綜合的技能。網(wǎng)絡(luò)團(tuán)隊(duì)不應(yīng)該簡(jiǎn)單地停留在傳統(tǒng)的OSI層，而是擴(kuò)展到虛擬交換機(jī)。我們不只要配置虛擬交換機(jī)還要對(duì)其負(fù)責(zé)。對(duì)虛擬化管理員來(lái)說(shuō)，雖然這個(gè)想法有些激進(jìn)，但網(wǎng)絡(luò)管理員的技能對(duì)于虛擬環(huán)境是很重要的。如果網(wǎng)絡(luò)管理員具備虛擬網(wǎng)絡(luò)的管理權(quán)限，那么虛擬網(wǎng)絡(luò)將不再被視為一種威脅，而且在擴(kuò)展、升級(jí)時(shí)能夠更好地凝聚團(tuán)隊(duì)，因?yàn)檫@涉及到所有人的既得利益。虛擬化環(huán)境一直是虛擬化管理員的領(lǐng)地，但這并不意味著他們?cè)谏婕疤摂M化如網(wǎng)絡(luò)和存儲(chǔ)等所有方面都是專家。

考慮合規(guī)性軟件

Hytrust、VMware以及BeyondTrust等廠商都推出了具備審計(jì)、權(quán)限管理以及合規(guī)性功能的產(chǎn)品。這些軟件包能夠?qū)徲?jì)所有人，包括虛擬化管理員濫用虛擬環(huán)境的情況。企業(yè)可通過(guò)自定義策略來(lái)定義“濫用”，不僅不會(huì)限制虛擬化管理員的工作，還能保護(hù)虛擬環(huán)境。以上產(chǎn)品都無(wú)法避免虛擬管理員蓄意中斷業(yè)務(wù)或者破壞數(shù)據(jù)。相反，這些產(chǎn)品旨在通過(guò)限制訪問(wèn)避免無(wú)心之過(guò)，針對(duì)無(wú)法解釋的問(wèn)題提供審計(jì)功能。

設(shè)置并加強(qiáng)文檔策略

大多數(shù)人認(rèn)為最大的威脅是惡意操作，往往忽略了更大的風(fēng)險(xiǎn)：忠誠(chéng)的虛擬化管理員帶來(lái)另一個(gè)風(fēng)險(xiǎn)，員工離職可能會(huì)帶來(lái)嚴(yán)重的后果。IT人員并不是一直在勤奮地編寫(xiě)文檔，他們通常喜歡先干活，等有時(shí)間再編寫(xiě)。更常見(jiàn)的是，有經(jīng)驗(yàn)的管理員離職后往往會(huì)帶走這些信息，只留下一個(gè)復(fù)雜的環(huán)境。高級(jí)管理員需要花心思了解其工作原理并試圖對(duì)其提供支持。只留給管理員兩周時(shí)間，他沒(méi)有足夠的時(shí)間編寫(xiě)文檔、繪制圖表、進(jìn)行知識(shí)轉(zhuǎn)移以及跨團(tuán)隊(duì)的培訓(xùn)。該過(guò)程必須盡早啟動(dòng)，提供管理支持、使用能夠建立文檔與環(huán)境映射的產(chǎn)品。NeverFail IT Continuity Architect是一款能夠建立虛擬化環(huán)境映射的產(chǎn)品，如果核心員工離職，新員工不用從頭開(kāi)始。

技術(shù)豎井曾經(jīng)是一個(gè)有價(jià)值的架構(gòu)，不同的技能組合來(lái)管理不同類型的硬件。隨著服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)成為真正的推動(dòng)數(shù)據(jù)中心發(fā)展的標(biāo)準(zhǔn)硬件和軟件產(chǎn)品，傳統(tǒng)的技術(shù)界限已經(jīng)變得模糊。交叉培訓(xùn)、明確所有權(quán)、審計(jì)軟件、文檔以及準(zhǔn)確理解虛擬環(huán)境的角色都是避免虛擬管理員成為企業(yè)最大風(fēng)險(xiǎn)的有效方式。