一方面,虛擬化平臺(tái)讓創(chuàng)建和配置服務(wù)器和應(yīng)用軟件比物理機(jī)統(tǒng)治的時(shí)代要更加簡(jiǎn)單和快速���。另一方面��,物理領(lǐng)域中應(yīng)用的安全工具和實(shí)踐在虛擬機(jī)大行其道的今天已經(jīng)不再適用����。
數(shù)據(jù)中心網(wǎng)絡(luò)周期是重要的安全界線�。但數(shù)據(jù)中心內(nèi)部由X86服務(wù)器虛擬化所帶來(lái)的質(zhì)量和數(shù)量上的變化�,正對(duì)網(wǎng)絡(luò)周期的物理特性產(chǎn)生著潛移默化的影響����。
首先,虛擬機(jī)的蔓延讓數(shù)據(jù)中心面臨的壓力日益嚴(yán)重����。為物理系統(tǒng)上運(yùn)行的應(yīng)用軟件創(chuàng)建安全方針并非易事。如今配置一臺(tái)新服務(wù)器所需的時(shí)間從周縮短為小時(shí)�����,網(wǎng)絡(luò)安全人員必須馬上部署安全保障�,確保系統(tǒng)數(shù)據(jù)不會(huì)遭受木馬入侵和泄露。
其次�����,數(shù)據(jù)中心面臨的安全壓力還來(lái)自于數(shù)據(jù)中心內(nèi)部系統(tǒng)的快速遷移�。虛擬機(jī)在物理機(jī)之間進(jìn)行遷移時(shí)��,與虛擬機(jī)相關(guān)的安全協(xié)議和資源保護(hù)如何遷移是個(gè)問(wèn)題���。
增加數(shù)據(jù)中心物理服務(wù)器的數(shù)量是一種單調(diào)乏味的方式�����。除此之外���,硬件系統(tǒng)必須在物理上與網(wǎng)絡(luò)相連接���,這就意味著那些沒(méi)有訪問(wèn)過(guò)網(wǎng)絡(luò)設(shè)備配置而缺乏相關(guān)知識(shí)的系統(tǒng)管理員就必須向其他的IT人員求助。
這樣的話��,我們就必須在這個(gè)流程中安排兩到三個(gè)職能部門(mén)來(lái)關(guān)注新系統(tǒng)的運(yùn)行���。如果實(shí)施了虛擬化�����,我們可能只需要一名IT技術(shù)人員在幾分鐘內(nèi)在虛擬交換機(jī)上就能完成新系統(tǒng)的配備��。面對(duì)IT基礎(chǔ)架構(gòu)復(fù)雜而脆弱的現(xiàn)狀��,這成為亟待解決的問(wèn)題���。
如何改變IT基礎(chǔ)架構(gòu)的現(xiàn)狀,如何提高虛擬世界的安全性是IT管理者必須關(guān)心和考慮的問(wèn)題��。問(wèn)題的答案莫衷一是,目前還沒(méi)有哪款產(chǎn)品或者戰(zhàn)略能成為讓問(wèn)題迎刃而解的最佳方案����。
不過(guò)一些逐步成熟的實(shí)踐方法正在演變成為引導(dǎo)未來(lái)發(fā)展方向的趨勢(shì)。
傳統(tǒng)的安全工具生產(chǎn)廠商開(kāi)始為虛擬世界打造適合他們的產(chǎn)品���。微軟公司在經(jīng)歷了人們對(duì)Windows操作系統(tǒng)安全漏洞長(zhǎng)達(dá)十年的質(zhì)疑和詬病后��,又面臨虛擬化產(chǎn)品安全保障的難題��。除此之外��,VMware公司作為虛擬化領(lǐng)域的龍頭先鋒�,也在應(yīng)用編程接口的基礎(chǔ)上推進(jìn)VMsafe來(lái)保證他們虛擬化平臺(tái)的安全運(yùn)行���。
防火墻���,入侵防御系統(tǒng)和連接物理系統(tǒng)的虛擬局域網(wǎng)都需要開(kāi)發(fā)和維護(hù)。然而這些系統(tǒng)的功能必須遷移到連接虛擬機(jī)的虛擬網(wǎng)絡(luò)的內(nèi)部��。通常虛擬網(wǎng)絡(luò)是使用虛擬交換機(jī)創(chuàng)建的��,這些虛擬交換機(jī)和虛擬機(jī)一起駐留在物理系統(tǒng)上運(yùn)行的管理程序頂部�����。
如今為了安全起見(jiàn)�,我們需要對(duì)虛擬機(jī)間的流量進(jìn)行監(jiān)控。一旦開(kāi)始運(yùn)行��,虛擬機(jī)流量就會(huì)返回虛擬網(wǎng)絡(luò)�。當(dāng)我們想要提高虛擬機(jī)的運(yùn)行能力時(shí),就有可能導(dǎo)致網(wǎng)絡(luò)運(yùn)行的瓶頸�。
采用綜合解決方案也能將虛擬機(jī)和他們安裝的物理系統(tǒng)綁定,如果虛擬機(jī)遷移到不同的物理主機(jī)時(shí)�,除非設(shè)計(jì)精巧的物理系統(tǒng)能支持這種遷移。使用這種方法會(huì)面臨很多問(wèn)題����,我們甚至無(wú)法說(shuō)清這么做的原因。
第一個(gè)問(wèn)題是����,采用綜合解決方案要取決于目前的系統(tǒng)架構(gòu),服務(wù)器必須始終在線直到它們停機(jī)或退役����。必要的情況下安全產(chǎn)品要開(kāi)發(fā)靜態(tài)的方案來(lái)理清系統(tǒng)的物理和邏輯連接。
在物理工具方面,還需要考慮與網(wǎng)絡(luò)脆弱的靜態(tài)模式相關(guān)的網(wǎng)絡(luò)協(xié)議�。坦率的說(shuō),我們可以看到數(shù)據(jù)中心變化的速度之快已經(jīng)讓IT管理者應(yīng)接不暇��,IT管理者應(yīng)用傳統(tǒng)IT安全工具的能力已經(jīng)無(wú)法跟上虛擬世界的發(fā)展步伐����。
虛擬機(jī)的蔓延讓安全協(xié)議必須要適應(yīng)這個(gè)現(xiàn)實(shí)。隨著數(shù)據(jù)中心虛擬機(jī)的數(shù)量不斷增加�,很可能IT管理者需要增加安全人員的數(shù)量和加強(qiáng)專業(yè)技能的培訓(xùn),來(lái)專門(mén)致力于安全協(xié)議的創(chuàng)建和維護(hù)��。要想訪問(wèn)所需的資源就需要了解系統(tǒng)定義的安全協(xié)議��。 正如我們所描述的���,虛擬機(jī)技術(shù)的前提和目前的實(shí)行都為安全協(xié)議的發(fā)展制造了難題���。
設(shè)想一下任何軟件要裝入系統(tǒng)都會(huì)增加系統(tǒng)的風(fēng)險(xiǎn)性。從理論上我同意這個(gè)觀點(diǎn)���,管理程序誕生至今所經(jīng)歷的時(shí)間還相對(duì)短暫�,但管理程序已經(jīng)證明它比任何其他應(yīng)用軟件都安全的多����,尤其是Windows操作系統(tǒng)�����。
管理程序平臺(tái)上獨(dú)立的虛擬機(jī)環(huán)境是實(shí)現(xiàn)物理機(jī)向虛擬服務(wù)器整合高比例的關(guān)鍵。作為一款副產(chǎn)品管理程序的運(yùn)行比在同樣物理服務(wù)器上運(yùn)行的其他應(yīng)用軟件都要安全很多�。將有不同安全需求的虛擬機(jī)放在同樣的物理主機(jī)上運(yùn)行,需要最佳的實(shí)踐方針作為指導(dǎo)�。很多企業(yè)可能只想保留處理常規(guī)數(shù)據(jù)的虛擬機(jī),諸如信用卡信息等類似信息放在物理系統(tǒng)上���?��?赡芨玫霓k法是將系統(tǒng)功能放在一邊,讓安全價(jià)值相對(duì)較低的系統(tǒng)集合在一起����,針對(duì)物理系統(tǒng)上高價(jià)值的虛擬機(jī)重點(diǎn)關(guān)注高可用性的設(shè)計(jì)。給這些高價(jià)值的系統(tǒng)分配安全資源����,比如針對(duì)這些系統(tǒng)開(kāi)發(fā)安全協(xié)議等。
在此我們也介紹一下虛擬化平臺(tái)廠商安全產(chǎn)品的開(kāi)發(fā)����。今年二月����,VMware推出VMsafe����,意在改進(jìn)虛擬基礎(chǔ)架構(gòu)的安全運(yùn)行,幫助企業(yè)減少虛擬資源的浪費(fèi)�。
VMsafe是VMware公司研發(fā)的API工具,能讓第三方廠商監(jiān)控和控制虛擬機(jī)的網(wǎng)絡(luò)流量��,還能監(jiān)控服務(wù)器上每個(gè)虛擬機(jī)的數(shù)據(jù)�。這些數(shù)據(jù)可以供安全廠商使用來(lái)進(jìn)行安全分析,而無(wú)需進(jìn)入網(wǎng)絡(luò)或者虛擬機(jī)����。VMsafe的設(shè)計(jì)讓用戶使用較少的主機(jī)資源,簡(jiǎn)化和優(yōu)化安全解決方案�,為主機(jī)和網(wǎng)絡(luò)安全提供全面保障。VMsafe技術(shù)目前處于蓄勢(shì)待發(fā)的初級(jí)階段��。
賽門(mén)鐵克�����、McAfee和其他第三方安全工具制造商也在進(jìn)行安全產(chǎn)品的早期開(kāi)發(fā)。IT管理者應(yīng)該密切關(guān)注這一領(lǐng)域的最新發(fā)展��。通過(guò)對(duì)微軟Hyper-V管理程序最近的試用��,我們發(fā)現(xiàn)安全性已經(jīng)從原來(lái)的附加功能成為公司著重強(qiáng)調(diào)的核心特性��,微軟在每個(gè)月的第二個(gè)星期二會(huì)發(fā)布安全產(chǎn)品補(bǔ)丁�。在Hyper-V產(chǎn)品線和最新發(fā)布的Application Virtualization產(chǎn)品中����,微軟在產(chǎn)品的核心部分設(shè)置了安全運(yùn)行特性。
