虚拟化在IT领域中所覆盖的范围很广。在“一个应用,一个服务器”这一规则引领多年后,IT架构的容量已经不再能满足需求,而且也不具有成本效益。随着虚拟化的兴起,以及在单个服务器上托管多个虚拟机的趋势,很多与之相关的问题也显现出来。
由于多个虚拟机可以放到单个服务器上,IT组织就可以确定该机器的处理能力被分配到了多个应用上。通常以单个字节来衡量的利用率可增加到70%甚至更多,这样就确保了高成本,低利用率服务器上的浪费情况比较少。
虚拟化的转变也经历了所谓的“虚拟化停滞”。这是指许多企业在对25%的服务器完成虚拟化后,就停止了虚拟化的步伐。
当你研究造成这种现象的原因时,通常回发现这种虚拟化只是将所有简单的服务器进行虚拟化操作(例如,dev机器或低风险的内部IT应用,如DNS)但是没能成功对其生产应用进行虚拟化操作。
造成这种停滞的原因很多,但是其中很重要的一点就是安全因素。安全团队不确定要如何将为物理环境设计的实例应用到虚拟环境中。虽然存在这样的疑惑,但是其方向还是明确的:安全实例必须得到更新以打破虚拟化停滞不前的僵局。
下面是虚拟化过程中,安全组织面临的三个最常见问题:
1、网络流量可视性的缺乏
许多安全组织用监控网络流量的方式来识别和拦截恶意流量以及渗透。供应商也发布了专用装置来执行监控以减轻安装和配置过程中的压力。将这些装置安装到网络上就如同安装到另一个服务器上一样,只需启用这些装置然后以小时或以日为单位来运行。这种方法简化了安全实例的执行过程,而且是硬件受限的安全团队和IT运营团队的福音。
只是,这种方法在虚拟环境的应用还存在一个问题。同一个服务器上的不同虚拟机都是通过hypervisor的内联网来沟通,安全装置所在的物理网络上没有数据包传输。当然,如果虚拟机被放置到不同服务器上,那么内部虚拟机流量就会在其网络上传输,从而可以被检测到。不过,出于性能方面的考虑,与相同应用相关联的虚拟机(例如,一个应用的Web服务器和数据库服务器)通常都位于同一个物理服务器上。
幸好,供应商已经想到办法解决这个问题。虚拟化供应商已经在其hypervisor中放入了hook,而思科和Arista等网络供应商已经习惯将其与虚拟机合用,以此实现流量监测。所以,这个问题也变得不再纠结,尽管它要求升级到目前的网络交换方法,而且安全产品也要较新的模式。你可以将这话理解为需要更多的资金投入。不过,单单缺乏可视性还不足以让企业推迟生产应用的虚拟化操作。
2、性能对安全经费的影响
在单个服务器上支持多个虚拟机的好处对于服务器制造商而言已经变得非常明显,他们也随之修改了自己的服务器设计。和以前能支持五个虚拟机的的1U机器不同,现在的4U刀片服务器具备几百G的缓存和大量网卡。因此,服务器现在通常可支持25或50个虚拟机。成本效益和利用率非常高,但是在单个服务器上托管如此多的虚拟机也可能导致其他问题。
每个服务器只管理自己的安全产品,由此便导致了一些常见问题。典型的例子就是反病毒。在许多IT组织中,每个服务器都是同时更新自己的反病毒签名,这样就导致25或50个虚拟机同时发布相同操作。所以会导致传输量降低,从而影响服务器性能。
幸好,有新的技术性方案可用。第一,就好比虚拟化供应商开放API,允许网络供应商整合到hypervisor,他们现在也开放了API让安全公司推出不需要安装到每个虚拟机上的新产品。相反,这类产品本身就是虚拟机。
当hypervisor意识到流量需要调用一个反病毒项目的时候,就会把调用转发到虚拟机的反病毒软件上,再由虚拟机执行扫描。这样就避免了25台机器同时进行反病毒操作,一台虚拟机代表25台机器运行反病毒显然是更好的方法。
或许你猜得到第二个方法是以云为基础。类似对文档的重复反病毒扫描等操作需要发布成千上万个反病毒签名文件,为什么不让上百万端点调用一个位于中央位置的以云为基础的方案呢?供应商可以确保其有足够的资源来控制流量,而用户则可以避免性能方面的问题,且不需要在安全软件方面投入更多资本。这种方法带来了显著效益,而且我们在不久的将来会听到更多以云为基础的安全方案。
3、周边被破坏
一月在华盛顿特区召开的安全威胁会议上谈到的一个主题就是认为自己的周边不会被渗透的想法是愚蠢的。有组织犯罪团体的崛起以及幕后有政府支持的黑客都使得这种定向攻击极其复杂。
互联网安全联盟CEOLarryClinton提供了一些有关安全威胁及其影响的统计数据,统计结果令人感到害怕。简而言之,目前的安全方法都不能满足需求。不法分子可以安装长期运行的僵尸程序,令其对服务器的数据进行筛选,从而识别和窃取重要数据。也可以理解为我们所说的APT。
那该如何是好?
当然,可以整合专门的安全产品层来解决APT威胁。新旧供应商都想向你售卖针对APT的安全产品。笔者并非贬低这些产品,只是这类威胁会增加安全实例在个人服务器或VM级别(换言之是安全在实例级别)的重要性,你应该进行整体监控并使用入侵防御系统。
将这些产品都放到一个虚拟机上与“把安全放到虚拟机外”的方法不相符,当然,也有更好的想法:只能在机器上执行的安全应该位于机器上,同时可通过若干机器共享的安全应该迁移到中心位置。安全工作向来就是平衡各方面的利弊。
小结:虚拟化经济意味着这种运算模式有望得到广泛传播,想要阻止这种趋势的人犹如螳臂当车。
原文链接:http://www.computerworld.com/s/article/9224979/3_key_issues_for_secure_virtualization?taxonomyId=17