根據(jù)Orrin的說法��,如果安全在這些配置中經(jīng)常是事后才去考慮的問題�����,這可能是因?yàn)槠髽I(yè)用戶過于追求成本節(jié)約的效應(yīng)�,而不是利用虛擬化所能提供的靈活性優(yōu)勢。
"管理者必須完全理解虛擬化對他們意味著什么"Orrin強(qiáng)調(diào)說"這里有著安全的考慮��,運(yùn)作問題和安全一樣棘手��,當(dāng)你嘗試將你熟悉的物理世界向虛擬領(lǐng)域遷移時(shí)����,問題就出現(xiàn)了"�����。
當(dāng)應(yīng)用軟件在服務(wù)器之間進(jìn)行遷移����,改變他們使用的資源甚至他們存儲的位置時(shí)����,安全問題變得更加復(fù)雜。Orrin解釋說"針對不同的虛擬機(jī)你需要不同級別的安全設(shè)置��。人們從20臺設(shè)備整合為一臺大型的設(shè)備��,目前關(guān)鍵任務(wù)應(yīng)用軟件與測試應(yīng)用軟件和人力資源軟件等一起在同一個(gè)設(shè)備上運(yùn)行���。一種安全協(xié)議如何涵蓋所有的方面?"����。
現(xiàn)實(shí)中多數(shù)配置比這個(gè)要復(fù)雜的多。Orrin表示"在多數(shù)企業(yè)中���,整合的比例遠(yuǎn)不止20:1�����。一些企業(yè)有很多數(shù)據(jù)中心分布在不同地點(diǎn)�,管理者也希望能對數(shù)據(jù)中心進(jìn)行整合"。
沒有一種安全協(xié)議
Orrin表示���,解決方案是設(shè)置一種涵蓋多種級別安全的安全協(xié)議(設(shè)定低��,中��,高的安全級別)����,循序漸進(jìn)的部署虛擬化��。
如果這部分進(jìn)展順利����,就會帶來法規(guī)遵從的好處。Orrin表示"我見證過很多實(shí)例��,人們發(fā)現(xiàn)應(yīng)用安全控制并把它們反饋給審計(jì)人員要簡單的多"���。
但是要把這個(gè)過程做好也并不容易�。有一種新的軟件層,管理程序外加虛擬機(jī)管理器都需要安全保護(hù)�����。虛擬化技術(shù)能有所幫助�����。
Orrin表示"VMsafe和Xen中類似的工具能幫助你調(diào)整虛擬機(jī)管理器�,以便一個(gè)虛擬機(jī)能為其他虛擬機(jī)做殺毒工作。我們的目標(biāo)就是利用用戶現(xiàn)有的安全機(jī)制�,讓它與虛擬化技術(shù)相結(jié)合"。
讓現(xiàn)有的安全機(jī)制與虛擬化相結(jié)合以一方面�����;讓防火墻與虛擬化相結(jié)合就難度更大�。Orrin介紹說"云上的防火墻不能達(dá)到同種級別的保護(hù)效果��,特別是如果管理程序是在虛擬機(jī)之間擔(dān)當(dāng)互聯(lián)的話"��。
"做為回應(yīng)����,一些人改變了所有的網(wǎng)絡(luò)流量從網(wǎng)絡(luò)中發(fā)出的方向���。像思科和Juniper等廠商希望你這么做,但是你又無法利用虛擬化交付的有效性����。從效用的角度來看,虛擬應(yīng)用工具意義非凡����,但是同樣也存在局限性"。
思科系統(tǒng)公司今天對此也發(fā)表了評論���。思科發(fā)言人在電子郵件中表示"來自思科的Nexus 1000v產(chǎn)品能通過在管理程序?qū)觾?nèi)部設(shè)置企業(yè)級交換機(jī)來幫助你控制和阻斷虛擬化之間的網(wǎng)絡(luò)流量�����。另外��,思科的Nexus 1000v在能耗方面也表現(xiàn)卓越���,它所捆綁的防火墻等服務(wù)也是一項(xiàng)創(chuàng)新"。
大型機(jī)可以簡化虛擬化嗎�����?對此Orrin表示"大型機(jī)是所有虛擬化技術(shù)的鼻祖,IBM公司喜歡這么說����,但是如果你在大型機(jī)上運(yùn)行Linux或Unix操作系統(tǒng),大型機(jī)有著自己的應(yīng)用工具來實(shí)施訪問控制和過程隔離�����,當(dāng)你試圖將大型機(jī)和客戶端服務(wù)器體系架構(gòu)及VMware混合使用時(shí)��,這種平衡就會被打破"�。
Orrin聲稱他非常欣賞大型機(jī)的理念。他表示"我是大型機(jī)的擁躉者�,我見證過大型機(jī)的能力和絕妙。那就是說它不是Windows或 Unix服務(wù)器"�����。
Orrin補(bǔ)充說企業(yè)所有的關(guān)鍵任務(wù)應(yīng)用軟件都在大型機(jī)上運(yùn)行的情況非常少見��,這是虛擬化配置中很有價(jià)值的部分�。
Orrin還強(qiáng)調(diào)說��,虛擬化所獨(dú)有的另一個(gè)重要安全問題是,在許多虛擬化配置中����,只有常有的虛擬機(jī)模板才被儲存,然后按照需要進(jìn)行復(fù)制和配置�。
"這些大家配置虛擬機(jī)的副本很珍貴。如果有人試圖攻擊這些金牌副本����,就會對基于這些實(shí)例的系統(tǒng)造成傷害。安全軟件關(guān)注的是什么在運(yùn)行����,而不是金牌副本不能運(yùn)行的,因此你必須對他們進(jìn)行研究����。閑置的虛擬機(jī)就是一個(gè)大型的ISO文件"。
Orrin補(bǔ)充說公司制造產(chǎn)品來提供必需的安全性��。"他們在配置之前更改虛擬機(jī)的控制�����,管理和證明����。在遷移過程中��,虛擬機(jī)會在途中遭遇攻擊��。我們看到過虛擬機(jī)在兩臺服務(wù)器之間遷移過程中遭受攻擊的例子����。攻擊改變了遷移過程中的安全位數(shù)���。因此為了保護(hù)虛擬機(jī)的完整性�����,他們要確保被配置的虛擬機(jī)就是原來的虛擬機(jī)����,沒有發(fā)生過改變"��。
Orrin最后總結(jié)道"好消息是有一些工具和技術(shù)能解決這個(gè)問題���。IT部門只要應(yīng)用合適的工具就可以了"���。
