英特尔公司安全解决方案总监Steve Orrin对于规划虚拟化配置有着简单而实用的建议。他表示"不要一开始就急于去追逐那些高价值和承担关键任务的领域。要从有投资价值而不是那么关键的领域开始着手,否则一旦出现问题就是很严重的后果",虚拟化部署安全问题不容忽视。
"对于任何新兴的基础架构,都存在着错误和挑战。学习,然后将学到的知识和经验应用到高价值系统中去"Orrin补充说。
省钱但不要走捷径
根据Orrin的说法,如果安全在这些配置中经常是事后才去考虑的问题,这可能是因为企业用户过于追求成本节约的效应,而不是利用虚拟化所能提供的灵活性优势。"管理者必须完全理解虚拟化对他们意味着什么"Orrin强调说"这里有着安全的考虑,运作问题和安全一样棘手,当你尝试将你熟悉的物理世界向虚拟领域迁移时,问题就出现了"。
当应用软件在服务器之间进行迁移,改变他们使用的资源甚至他们存储的位置时,安全问题变得更加复杂。Orrin解释说"针对不同的虚拟机你需要不同级别的安全设置。人们从20台设备整合为一台大型的设备,目前关键任务应用软件与测试应用软件和人力资源软件等一起在同一个设备上运行。一种安全协议如何涵盖所有的方面?"。
现实中多数配置比这个要复杂的多。Orrin表示"在多数企业中,整合的比例远不止20:1。一些企业有很多数据中心分布在不同地点,管理者也希望能对数据中心进行整合"。
没有一种安全协议
Orrin表示,解决方案是设置一种涵盖多种级别安全的安全协议(设定低,中,高的安全级别),循序渐进的部署虚拟化。如果这部分进展顺利,就会带来法规遵从的好处。Orrin表示"我见证过很多实例,人们发现应用安全控制并把它们反馈给审计人员要简单的多"。但是要把这个过程做好也并不容易。有一种新的软件层,管理程序外加虚拟机管理器都需要安全保护。虚拟化技术能有所帮助。
Orrin表示"VMsafe和Xen中类似的工具能帮助你调整虚拟机管理器,以便一个虚拟机能为其他虚拟机做杀毒工作。我们的目标就是利用用户现有的安全机制,让它与虚拟化技术相结合"。让现有的安全机制与虚拟化相结合以一方面;让防火墙与虚拟化相结合就难度更大。Orrin介绍说"云上的防火墙不能达到同种级别的保护效果,特别是如果管理程序是在虚拟机之间担当互联的话"。
种种原因告诉我们虚拟化部署安全问题不容忽视。
【编辑推荐】