适当的规划,包括安全设施的规划,将使您在部署虚拟化和确保业务连续性和保护企业数据中获得收益。
在当前艰难的大环境下,关于通过部署虚拟化来实现潜在的节约成本的承诺绝对是不容忽视的。IT团队理解的概念是通过巩固虚拟化部署取得更好的硬件利用率、增加灵活性、提高管理能力。然而,在许多情况下,虚拟环境的项目的障碍往往只有网络和数据安全问题才会引起关注。在一个新的环境中,安全问题始终是一个重要的考虑因素,但虚拟化的安全问题往往由于缺乏知识或参与虚拟化项目而遭到反对。通过适当的规划和参与部署,关于安全问题的反对意见可以被转移消化。
一个争论最为激烈的话题来自hypervisor的escape命令。在这种情况下,有可能从一个单一的已经受损的虚拟机直接攻击hypervisor。如果成功的话,攻击者将可以在所有的虚拟机上运行该服务器。
今天,这种类型的攻击仅仅是理论上的,但考虑到虚拟软件始终有其缺陷,故这种攻击理论是合理的。然而,作为一种反对虚拟化的观点,保证这种现象永远不会发生的可能性相对较低。攻击可在数据中心、亦或虚拟化设备。这些更可能由于缺少操作系统补丁,来自简单的错误或接触,而不是通过一次成功的hypervisor escape命令。
理论上的escape命令不需要使用相同的标准和数据业务临界敏感性界定安全问题的最佳做法来尽量减少虚拟网络。换言之,虚拟化并不能自动等同于“把所有的鸡蛋放在一个篮子里。”正确的分割,一方面结合物理和虚拟分割,能产生固体区分割关键工作量。虚拟的网络分割允许部署不同的敏感性程度的访客共享基础设施,执行政策分割(无需物理硬件),同时还可以更好地利用计算机的资源共享。
今天,虚拟分割可以通过一系列的虚拟安全设备来实现,区别更多的是他们的管理办法和用户界面而非实施分割的技术。VMware公司即将推出的VMsafe API使安全厂商提供的产品能以更优化的方式分割和保护网络。想象一下,全面的网络政策必将给客户全新的书写功能,并且不论虚拟基础设施的地点强制执行。良好的分割网络将有助于防止今天的现实威胁和明天的理论威胁。
另一个主要的反对意见也是关于虚拟化的优势:灵活性。虚拟数据中心是一个充满活力的环境。它提供了方便的虚拟机部署和转化为一种环境的配置变化,能够快速适应业务需求。在一个虚拟数据中心,管理员可以很轻松的部署和克隆的虚拟机,迁移客户到其他服务器,并改变资源(CPU、内存、硬盘)。另一方面,这样的环境下,恶意或意外的行动可以产生深远的影响和潜在的破坏性后果。动态和迅速变化可能导致风险增加,无法跟踪虚拟机(如虚拟扩张),或防范业务政策的行为。
例如,在简单的情况下发生意外的错误,一个重要的Web服务器的网络接口通过改变一个VLAN的ID和连接丢失映射到错误的物理网络。确定这个简单错误的根源可能非常费时。大量的管理人员,没有实际的电缆追查,成千上万的访客和许多同样名的虚拟网络,要发现违规的配置并将其更改成为虚拟机,就如同大海捞针一样。
遏制不断变化的环境的最有效的方式是通过加强现有的业务政策,提供更深入地了解虚拟和物理网络。经验丰富的IT专业人士都知道,政策是唯一和制定好的规则一样有效的措施。
为了确保政策得到执行,部署相关的工具,可以监视,跟踪和审计虚拟环境的部署。然而,要真正有效,这些工具还必须提供可视化,同时“跟踪”需要了解虚拟机如何以及在何处正在部署。他们必须建立一个审计证据的记录:关于谁管理这些机器和对虚拟机和虚拟基础设施执行了那些变化。有了这样的审计工具的情况下,由简单的配置错误所造成的停电,以及上文所述的问题都可追溯,并迅速纠正了。
最后一个反对部署虚拟化的安全问题源于信息安全部门在规划虚拟化部署时缺乏列入或审议。所以在一开始讨论部署时就让这些反对者参与讨论是至关重要的。在许多情况下,反对者是由于对虚拟化和可用的选项了解有限。
情况可能会被现有的网络安全性和可视性的工具不能提供虚拟网络同样的详细资料变得复杂。在传统情况下,非虚拟的网络有可能采取服务器清单、追查电缆并使用基于网络的工具,以发现网络和服务器。一旦实现虚拟化,大部分的功能会丧失。虚拟化使得建立网络的现有工具有可能根本无法看到。
虚拟安全设备提供网络级的情报可以填补遗产工具留下的空白。虚拟化的另一个好处是使这些设备提供高度准确的网络地图和客户访问记录,而不采用被动网络发现方法。有了合适的工具,实际上可以在虚拟环境更有效地实现可视化和库存准确性。
虽然hypervisor的供应商可以提供一些基本的可视化管理工具,这些工具是专为虚拟管理员设计的,这些工具可以提供对整个环境和目前的安全现状的整体可视性控制,在这方面将确定安全维护团队需要履行的职责,保护他们的基础设施。
一个简单的教训是,虚拟化像任何新技术一样,将受到自身安全性的挑战。但是,通过适当的规划和协调一致的努力,使安全问题成为规划过程的一部分,将有可能从虚拟化的部署中获益,以确保业务的连续性并保护企业数据。
【编辑推荐】