一方面�,虛擬化平臺讓創(chuàng)建和配置服務器和應用軟件比物理機統(tǒng)治的時代要更加簡單和快速�����。另一方面��,物理領域中應用的安全工具和實踐在虛擬機大行其道的今天已經不再適用���。
數(shù)據中心網絡周期是重要的安全界線。但數(shù)據中心內部由X86服務器虛擬化所帶來的質量和數(shù)量上的變化��,正對網絡周期的物理特性產生著潛移默化的影響����。
首先,虛擬機的蔓延讓數(shù)據中心面臨的壓力日益嚴重�。為物理系統(tǒng)上運行的應用軟件創(chuàng)建安全方針并非易事����。如今配置一臺新服務器所需的時間從周縮短為小時�,網絡安全人員必須馬上部署安全保障,確保系統(tǒng)數(shù)據不會遭受木馬入侵和泄露���。
其次�����,數(shù)據中心面臨的安全壓力還來自于數(shù)據中心內部系統(tǒng)的快速遷移����。虛擬機在物理機之間進行遷移時�,與虛擬機相關的安全協(xié)議和資源保護如何遷移是個問題。
增加數(shù)據中心物理服務器的數(shù)量是一種單調乏味的方式��。除此之外�����,硬件系統(tǒng)必須在物理上與網絡相連接�,這就意味著那些沒有訪問過網絡設備配置而缺乏相關知識的系統(tǒng)管理員就必須向其他的IT人員求助。
這樣的話�,我們就必須在這個流程中安排兩到三個職能部門來關注新系統(tǒng)的運行����。如果實施了虛擬化�����,我們可能只需要一名IT技術人員在幾分鐘內在虛擬交換機上就能完成新系統(tǒng)的配備�����。面對IT基礎架構復雜而脆弱的現(xiàn)狀��,這成為亟待解決的問題�����。
如何改變IT基礎架構的現(xiàn)狀����,如何提高虛擬世界的安全性是IT管理者必須關心和考慮的問題���。問題的答案莫衷一是�����,目前還沒有哪款產品或者戰(zhàn)略能成為讓問題迎刃而解的最佳方案��。
不過一些逐步成熟的實踐方法正在演變成為引導未來發(fā)展方向的趨勢�����。
傳統(tǒng)的安全工具生產廠商開始為虛擬世界打造適合他們的產品����。微軟公司在經歷了人們對Windows操作系統(tǒng)安全漏洞長達十年的質疑和詬病后,又面臨虛擬化產品安全保障的難題���。除此之外��,VMware公司作為虛擬化領域的龍頭先鋒�,也在應用編程接口的基礎上推進VMsafe來保證他們虛擬化平臺的安全運行�����。
防火墻���,入侵防御系統(tǒng)和連接物理系統(tǒng)的虛擬局域網都需要開發(fā)和維護����。然而這些系統(tǒng)的功能必須遷移到連接虛擬機的虛擬網絡的內部。通常虛擬網絡是使用虛擬交換機創(chuàng)建的��,這些虛擬交換機和虛擬機一起駐留在物理系統(tǒng)上運行的管理程序頂部�。
如今為了安全起見,我們需要對虛擬機間的流量進行監(jiān)控����。一旦開始運行,虛擬機流量就會返回虛擬網絡���。當我們想要提高虛擬機的運行能力時�����,就有可能導致網絡運行的瓶頸����。
采用綜合解決方案也能將虛擬機和他們安裝的物理系統(tǒng)綁定��,如果虛擬機遷移到不同的物理主機時����,除非設計精巧的物理系統(tǒng)能支持這種遷移。使用這種方法會面臨很多問題����,我們甚至無法說清這么做的原因。
第一個問題是�,采用綜合解決方案要取決于目前的系統(tǒng)架構,服務器必須始終在線直到它們停機或退役����。必要的情況下安全產品要開發(fā)靜態(tài)的方案來理清系統(tǒng)的物理和邏輯連接。
在物理工具方面��,還需要考慮與網絡脆弱的靜態(tài)模式相關的網絡協(xié)議���。坦率的說��,我們可以看到數(shù)據中心變化的速度之快已經讓IT管理者應接不暇�,IT管理者應用傳統(tǒng)IT安全工具的能力已經無法跟上虛擬世界的發(fā)展步伐�。
虛擬機的蔓延讓安全協(xié)議必須要適應這個現(xiàn)實。隨著數(shù)據中心虛擬機的數(shù)量不斷增加���,很可能IT管理者需要增加安全人員的數(shù)量和加強專業(yè)技能的培訓�����,來專門致力于安全協(xié)議的創(chuàng)建和維護���。要想訪問所需的資源就需要了解系統(tǒng)定義的安全協(xié)議����。 正如我們所描述的�����,虛擬機技術的前提和目前的實行都為安全協(xié)議的發(fā)展制造了難題���。
設想一下任何軟件要裝入系統(tǒng)都會增加系統(tǒng)的風險性�。從理論上我同意這個觀點�����,管理程序誕生至今所經歷的時間還相對短暫�����,但管理程序已經證明它比任何其他應用軟件都安全的多�����,尤其是Windows操作系統(tǒng)。
管理程序平臺上獨立的虛擬機環(huán)境是實現(xiàn)物理機向虛擬服務器整合高比例的關鍵�����。作為一款副產品管理程序的運行比在同樣物理服務器上運行的其他應用軟件都要安全很多�。將有不同安全需求的虛擬機放在同樣的物理主機上運行���,需要最佳的實踐方針作為指導��。很多企業(yè)可能只想保留處理常規(guī)數(shù)據的虛擬機���,諸如信用卡信息等類似信息放在物理系統(tǒng)上?����?赡芨玫霓k法是將系統(tǒng)功能放在一邊����,讓安全價值相對較低的系統(tǒng)集合在一起,針對物理系統(tǒng)上高價值的虛擬機重點關注高可用性的設計���。給這些高價值的系統(tǒng)分配安全資源�����,比如針對這些系統(tǒng)開發(fā)安全協(xié)議等����。
在此我們也介紹一下虛擬化平臺廠商安全產品的開發(fā)。今年二月�����,VMware推出VMsafe�,意在改進虛擬基礎架構的安全運行,幫助企業(yè)減少虛擬資源的浪費�����。
VMsafe是VMware公司研發(fā)的API工具��,能讓第三方廠商監(jiān)控和控制虛擬機的網絡流量���,還能監(jiān)控服務器上每個虛擬機的數(shù)據�����。這些數(shù)據可以供安全廠商使用來進行安全分析��,而無需進入網絡或者虛擬機��。VMsafe的設計讓用戶使用較少的主機資源��,簡化和優(yōu)化安全解決方案����,為主機和網絡安全提供全面保障���。VMsafe技術目前處于蓄勢待發(fā)的初級階段�����。
賽門鐵克����、McAfee和其他第三方安全工具制造商也在進行安全產品的早期開發(fā)�。IT管理者應該密切關注這一領域的最新發(fā)展。通過對微軟Hyper-V管理程序最近的試用�,我們發(fā)現(xiàn)安全性已經從原來的附加功能成為公司著重強調的核心特性,微軟在每個月的第二個星期二會發(fā)布安全產品補丁����。在Hyper-V產品線和最新發(fā)布的Application Virtualization產品中���,微軟在產品的核心部分設置了安全運行特性。
