虚拟化并不是一件容易的事情。安全问题使复杂的虚拟化过程更加困难。安全问题也是匆忙实施这种技术的企业经常容易忽略的问题。
英特尔安全解决方案经理Steve Orrin对那些正在打算部署虚拟化技术的人们提出了一些简单而有用的忠告。他说,最开始的时候不要对高价值的重要任务的东西实施虚拟化。首先可以对一些值得投资的有价值的东西进行虚拟化,但是,这些东西并没有重要到这种程度,以至于一旦中断就会产生严重的问题。
Orrin补充说,由于有许多新的基础设施,将会出现许多错误和挑战。要学习,并且把学到的东西应用到高价值的系统中。
Orrin将在下个星期举行的ISACA国际会议上发表一个题为“从虚拟化与安全到基于虚拟化的安全”的报告。这个报告的主题是安全应该能够帮助虚拟化的部署,而不是阻碍虚拟化的部署。
节省金钱但是没有减少担心
Orrin说,如果安全经常是虚拟化部署中事后才想起的事情,这个原因也许是虚拟化的目标单纯地方在了节省成本方面,而没有发挥虚拟化提供的日益增多的灵活性的优势。
Orrin指出,管理员应该理解虚拟化对于他们意味着什么。在你走出一台服务器仅运行一个应用程序的世界的时候,可能会出现许多安全问题,还有许多像安全问题一样难以解决的运营问题。
当应用程序从一台服务器迁移到另一台服务器,改变它们使用的资源,甚至改变它们的位置的时候,安全的要素变得更加复杂了。你对于不同的虚拟机需要不同水平的安全。人们从20台服务器减少到一台大型服务器,重要任务的应用程序与实验的应用程序以及小型的IT和人力资源应用程序都在同一台机器上运行。一个安全政策如何覆盖所有这些应用程序?
Orrin说,但是,大多数部署比这种情况更复杂。在大多数机构,这不是20:1的整合。许多机构在多个地方有多个数据中心,管理员还要整合数据中心。
缺乏安全政策
Orrin说,这个解决方案要有一个说明许多安全水平(可能是高、中和低级)的安全政策,并且逐步地实施虚拟化。如果做得好,就会得到遵守法规的益处。他说,我看到许多例子,人们发现很容易使用安全控制并且把这些措施报告给审计者。
但是,做得很好并不容易。有一个新的软件层需要保证其安全。这个软件层就是管理程序以及一个虚拟机管理器。虚拟化技术能够帮忙。
Orrin说,VMsafe和类似于Xen的工具能够让你利用虚拟机管理器,这样,一台虚拟机就能够为另一个虚拟机做杀毒的事情。这个目标是利用你现有的安全机制并且让这个安全机制熟悉虚拟化。
让杀毒软件属性虚拟化是一件事情,让防火墙熟悉虚拟化是一件更困难的事情。云计算中的防火墙不能运行同样水平的保护,特别是如果管理程序运行虚拟机之间的通讯的话。
Orrin补充说,一些人对此做出的反应是把所有的网络通讯重新传送到网络,而不允许虚拟机相互之间直接交换数据包。思科和瞻博网络等一些厂商让你那样做,然而你那样做就得不到虚拟化提供的效率优势。从效率的观点看,虚拟设备有很大意义,但是,如果你同那些已经建立虚拟设备的人们谈论这个事情,你会发现那里有一些局限性。
大型计算机能够简化虚拟化吗?Orrin说,大型机是所有的虚拟化的祖先。IBM喜欢谈论这个事情。但是,如果你与大型机一起使用Linux或者Unix操作系统,大型计算机拥有自己的接入控制和流程隔离设施,并且当你设法将大型计算机与客户机-服务器架构以及VMware混合使用的时候,大型计算机会出现故障。
Orrin称,他喜欢大型计算机的想法。他是主张使用大型计算机的人。他看到了大型计算机的魅力和力量。那不是Windows或者Unix服务器。他补充说,企业所有的重要任务软件都放在大型计算机上的情况是很少的。这可能是虚拟化部署的一个有价值的部分。
Orrin指出,虚拟化的另一个关键问题是,在许多虚拟化部署中,通用的虚拟机模板存储下来,然后根据需要复制和配置。人们根据一个黄金拷贝建立虚拟机。如果有人试图攻击这个黄金拷贝,他们就能够根据每一个实例的情况破坏整个系统。安全软件仅查看运行的东西,而黄金拷贝是不运行的。因此,你需要能够调查这些黄金拷贝。一个休息的虚拟机是一个大型的ISO文件。
Orrin补充说,企业生产提供必要的安全保护的产品。他们提供在设置之前的改变控制与管理以及一个虚拟机的证明。在迁移期间,虚拟机在线路上能够遭到攻击。甚至还有虚拟机在两台服务器之间迁移的时候遭到攻击的例子。这种攻击改变转送中的安全数据。因此,要保护虚拟机的完整性,他们必须要保证正在配置的虚拟机是原始的,也就是没有修改过的虚拟机。
Orrin说,好消息是有许多工具和技术能够解决这些问题。IT部门只需要使用合适的工具。
【编辑推荐】