虛擬服務(wù)器是有很多好處���,但它的安全問題完全暴露了嗎?如何確保安全性?可以采用下面十個積極步驟��。
2007年��,數(shù)據(jù)中心虛擬化方面的重大問題
還是"該技術(shù)可節(jié)省多少資金和時間?"而到2008年���,這個問題將變成"采用該技術(shù)���,我們會有多安全?"
這是一個極難回答的問題。
一大批拼命推銷虛擬化產(chǎn)品和服務(wù)的廠商���、顧問在風險及如何防范風險方面存在相左的觀點��。同時���,一些安全研究人員也在大肆宣傳理論上存在的風險,比如可能會出現(xiàn)的惡意軟件���。市場研究公司伯頓集團的高級分析師Chris Wolf說: "現(xiàn)在虛擬化方面的動靜很大���,讓人暈頭轉(zhuǎn)向。"
許多IT部門表示��,在2007年開始創(chuàng)建成千上萬個新的虛擬機時,他們認為運行速度比其他因素(如安全規(guī)劃)更重要���。IDC公司負責企業(yè)系統(tǒng)管理軟件的研究主任Stephen Elliott說: "安全是虛擬化擴建過程中被遺忘的一個角落���。要是想想現(xiàn)在虛擬機的數(shù)量,確實挺讓人擔憂��。"據(jù)IDC聲稱��,如今���,員工總數(shù)不少于1000人的公司當中有75%在使用虛擬化技術(shù)���。
Gartner公司的副總裁Neil MacDonald在去年10月舉辦的Symposium/ITxpo大會上預(yù)測,到2009年���,60%的生產(chǎn)虛擬機安全性將不如物理服務(wù)器���。
安全專家Chris Hoff認為,到目前為止���,圍繞虛擬化安全的討論大部分都是片面的���。他是優(yōu)利系統(tǒng)公司安全創(chuàng)新部門的首席架構(gòu)師。其實應(yīng)該這么考慮: "已經(jīng)把知道的安全知識運用到了虛擬化環(huán)境中嗎?我們應(yīng)當確保構(gòu)建的虛擬網(wǎng)絡(luò)要與構(gòu)建的物理網(wǎng)絡(luò)一樣可靠���、安全���。"
某些IT部門正在犯一個根本的錯誤: 他們讓服務(wù)器部門單槍匹馬地開展虛擬化項目,沒有讓IT團隊的安全��、存儲和網(wǎng)絡(luò)專家參與進來��。這會給虛擬化技術(shù)帶來內(nèi)在的安全問題缺陷��。
伯頓集團的Wolf說: "虛擬化絕大部分靠規(guī)劃���,而規(guī)劃必須讓全部團隊參與進來��,包括網(wǎng)絡(luò)���、安全和存儲等團隊。"而事實上���,大多數(shù)IT團隊在迅速推進虛擬化的項目���,安全方面的工作跟不上���。如果錯失了與所有專家一起規(guī)劃的大好機會,那該怎么辦呢?Wolf說: "安全方面想迎頭趕上���,不妨從認真審查虛擬基礎(chǔ)設(shè)施入手���,這要借助工具或者顧問。"
下面是企業(yè)為了加強虛擬機安全可以采取的十個積極步驟:
一 控制虛擬機的數(shù)量
創(chuàng)建虛擬機只要短短幾分鐘���。但虛擬機數(shù)量越多��,面臨的安全風險也越大���。所以,最好能夠跟蹤所有的虛擬機��。
Arch Coal公司負責IT的CIO Michael Abbene說: "我們先對很不重要的測試和開發(fā)設(shè)備進行了虛擬化處理���,然后轉(zhuǎn)向一些不太重要的應(yīng)用服務(wù)器��。因為一直很成功��,所以我們把目標放在比較重要的服務(wù)器上��,但這么做會加大風險系數(shù)��。"該公司目前大約有45個虛擬機��,包括活動目錄服務(wù)器以及幾臺應(yīng)用服務(wù)器和Web服務(wù)器���。
那么,如何控制服務(wù)器數(shù)量激增?一個方法是: 創(chuàng)建虛擬服務(wù)器要像創(chuàng)建物理服務(wù)器一樣嚴格��。在Arch Coal公司���,IT團隊對創(chuàng)建新虛擬機的審批很嚴��。"無論是物理服務(wù)器還是虛擬服務(wù)器���,都要通過同樣的流程才能獲得批準。"Arch Coal的微軟系統(tǒng)管理員Tom Carter說��。
為此���,Arch Coal的IT部門通過一個委員會(由服務(wù)器和存儲等不同部門的IT員工組成��,實現(xiàn)輪崗制)批準或者否決申請���。這意味著應(yīng)用開發(fā)部門的人員根本無法擅自構(gòu)建VMware服務(wù)器���,不過他允許開發(fā)人員提出要求。
專家認為��,虛擬機數(shù)量激增是一大問題���,會導致管理���、維護性能及配置供應(yīng)的能力出現(xiàn)滯后。"另外���,如果虛擬機的數(shù)量超出了控制范圍���,就會出現(xiàn)意料不到的管理成本。"Tom Carter說���。
二 運行更多流程
虛擬化技術(shù)最吸引人的也許在于速度: 只要幾分鐘就能創(chuàng)建虛擬機���,可以輕松移動���,只需要一天而不是幾周即可提供新的計算功能。但IDC的Elliott認為���,放慢節(jié)奏,認真考慮虛擬化成為現(xiàn)有IT流程的一部分���,就能夠從根本上預(yù)防安全問題��。
Elliott說: "流程至關(guān)重要���。考慮虛擬化時不僅要站在技術(shù)的角度���,還要站在流程的角度��。"舉例說��,如果使用ITIL來指導IT流程���,就要考慮虛擬化是否適合流程框架。如果使用其他IT最佳實踐,也要考慮虛擬化的適應(yīng)性���。
Hoff舉例說: "如果要加強服務(wù)器安全���,就應(yīng)當對虛擬服務(wù)器采取與物理服務(wù)器同樣的一套做法。"
在Arch Coal公司���,Abbene的IT團隊就是這么做的��。Abbene說: "我們確保物理服務(wù)器安全的最佳實踐運用到了每一個虛擬機上��。"加強操作系統(tǒng)安全���、在每一個虛擬機上運行反病毒軟件、確保落實補丁管理���,這些措施使得虛擬機具有同樣的安全流程��。
三 利用安全工具
是否需要一套全新的安全和管理工具來保護虛擬化環(huán)境?不需要���。明智之舉就是,從保護物理服務(wù)器和網(wǎng)絡(luò)環(huán)境的一套現(xiàn)有安全工具入手���,然后運用到虛擬環(huán)境��。但一定要了解廠商是如何跟蹤虛擬化風險���、將來如何與其他產(chǎn)品進行集成的���。
IDC的Elliott說: "保護物理環(huán)境的工具用于保護虛擬化環(huán)境是一種虛假的安全感。"同時他又說: "對虛擬化環(huán)境的新型安全工具而言��,目前處于市場的早期階段��。這意味著必須對傳統(tǒng)廠商以及潛在的新興廠商施加壓力���。"
別以為平臺層面的工具(如VMware的工具)足夠好。要看一看新興公司和傳統(tǒng)管理廠商��。對那些傳統(tǒng)廠商施加壓力��,要求他們做更多的工作��,并為他們提供指導���。
馬自達北美公司的CIO—Jim DiMarzio就在他的企業(yè)中采用了這項策略��。與Arch Coal一樣���,馬自達北美公司也在虛擬服務(wù)器的核心處運行VMware的ESX Server 3軟件���,最近一直在增加虛擬機的數(shù)量。DiMarzio說���,他預(yù)計到2008年3月會有150個虛擬機��。
為了保護這些虛擬機的安全���,DiMarzio決定繼續(xù)使用現(xiàn)有的防火墻和安全產(chǎn)品,包括IBM的Tivoli Access Manager���、思科防火墻工具以及賽門鐵克的入侵檢測系統(tǒng)(IDS)監(jiān)控工具���。
Arch Coal公司的Abbene及其團隊也繼續(xù)使用原有的安全工具,同時又在調(diào)查BlueLane 和Reflex Security等新興公司的工具���。Abbene說: "傳統(tǒng)安全廠商正在奮起直追���,他們在這方面落后于新興公司���。"
四 采用嵌入式管理程序
服務(wù)器上的虛擬機管理程序?qū)映洚斕摂M機的基礎(chǔ)。VMware近期宣布推出的ESX Server 3i虛擬機管理程序的獨特之處在于不包括通用操作系統(tǒng)��。出于安全上的考慮���,它采用了精簡設(shè)計���,只占用32MB空間。
像戴爾和惠普這些硬件廠商近期表示���,它們會在物理服務(wù)器上交付像VMware這種虛擬機管理程序的嵌入式版本��。基本上���,嵌入式虛擬機管理程序因為比較小��,所以比較安全���。
專家認為,嵌入式虛擬機管理程序是將來的一大趨勢���。不但從未涉足過這個領(lǐng)域的一些公司會提供嵌入式虛擬機管理程序���,大多數(shù)服務(wù)器廠商也會提供���。BIOS軟件領(lǐng)域的市場領(lǐng)導廠商Phoenix Technologies近期宣布: 進入虛擬機管理程序領(lǐng)域,首先會推出名為HyperCore的產(chǎn)品���,即面向桌面和筆記本電腦的虛擬機管理程序���。用戶開機后,可以使用網(wǎng)絡(luò)瀏覽器和電子郵件等客戶軟件��,無須等待啟動Windows(HyperCore將被嵌入到電腦的BIOS中)��。
虛擬機管理程序市場的競爭和創(chuàng)新對企業(yè)來說是好事���。最終可能出現(xiàn)的結(jié)果是��,許多公司會競相提供最精簡���、最智能的虛擬機管理程序軟件。Hoff說: "無論是Phoenix還是其他廠商��,會出現(xiàn)備受關(guān)注的競爭,這些虛擬機管理程序都希望成為下一個優(yōu)秀的操作系統(tǒng)���。"
五 限制訪問虛擬機權(quán)限
如果賦予了訪問虛擬機的管理員級別權(quán)限���,也就是賦予了訪問該虛擬機上所有數(shù)據(jù)的權(quán)限。伯頓集團的Wolf建議��,要慎重考慮員工需要哪種賬戶和訪問權(quán)限��。更復(fù)雜的問題是��,有些第三方廠商針對虛擬機的存儲和備份安全的建議是過時的��。Wolf又說: "有些廠商甚至本身就沒有遵守VMware針對VMware Consolidated Backup的最佳實踐���。"
Arch Coal的信息安全管理員Paul Telle說��,總體而言��,公司特別注意限制訪問虛擬機的管理員權(quán)限。他指出��,公司里只有一小部分人才擁有這樣的權(quán)限���。
應(yīng)用開發(fā)人員應(yīng)該只有最小的訪問權(quán)限���。"我們的應(yīng)用開發(fā)人員可以訪問共享區(qū)域��,這是最小的訪問權(quán)限���。他們無法訪問操作系統(tǒng)。"他說��,這有助于控制虛擬機數(shù)量激增��,同時增強了安全性��。
六 留意存儲資源
有些企業(yè)在SAN上提供過多的存儲資源���,這就可能錯誤地讓虛擬機的共享區(qū)域成為SAN的一部分��。
如果使用VMware移動虛擬機的工具VMotion��,會在SAN上分配一些分區(qū)存儲資源��。 但還要細化存儲資源的分配���,就像在物理環(huán)境下那樣��。展望未來���,N-port ID虛擬化技術(shù)是一個選擇,這項技術(shù)可以只為一個虛擬機分配存儲資源���。
七 隔離網(wǎng)段
企業(yè)走上虛擬化道路���,不該忽視與安全有關(guān)的網(wǎng)絡(luò)流量風險。但其中一些風險很容易被忽視���,如果在進行虛擬化規(guī)劃時沒有網(wǎng)絡(luò)和安全人員參與��,更是如此��。Wolf說: "許多企業(yè)只是把性能作為合并服務(wù)器的度量標準���。"
舉例說,有些CIO絕對不允許任何虛擬服務(wù)器出現(xiàn)在"非軍事區(qū)(DMZ)"��。(DMZ是存放外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)��,就像電子商務(wù)服務(wù)器一樣��,它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))��。
Wolf說��,要是DMZ里面果真有幾個虛擬機���,就要放在與一部分舊系統(tǒng)(如關(guān)鍵的Oracle數(shù)據(jù)庫服務(wù)器)分開在的獨立網(wǎng)段上��。
Abbene說��,在Arch Coal公司���,IT團隊一開始就考慮到了DMZ。他們把虛擬服務(wù)器部署在內(nèi)部局域網(wǎng)上���,不面向公眾���。Abbene說: "這是一個關(guān)鍵的決定。"舉例說���,公司在DMZ里面有幾臺安全的FTP服務(wù)器以及幾臺從事簡單電子商務(wù)的服務(wù)器���,公司不打算把虛擬機部署到里面��。
八 注意交換機
什么時候交換機不是交換機?Wolf說: &
關(guān)鍵詞標簽:數(shù)據(jù)中心虛擬化安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程