锁定hypervisor
考虑到安全挑战问题,hypervisor也需要重新理解了。“如果您查阅VMware强化指南,有很多可行的锁定hypervisor方式,可借鉴的途径也很多——通过补丁管理方案和配置平台,”Shackleford说。
VMware还提供了“主机配置文件”,作为hypervisor的模板。管理员可以使用该黄金模板作为其它安装的标准,以简化管理。
微软的Hyper-V只有一两个小的缺陷,根据Shackleford的描述,“您可以通过微软的SCVMM(System Center Virtual Machine Manager)平台对所有组件进行有效地管理,而且内置了很多自动化功能,”他说。
微软和Citrix缺乏的是关于如何锁定hypervisor的内容,Shackleford说。现在很少有针对这些系统的强化指南。
根据虚拟网络的变化调整安全性
由于SDN(software-defined networking)领域的发展,虚拟网络领域已经在改变,这意味着在私有云中可以采取完全基于软件的网络控制系统。这样“消除了硬件限制和feeds-and-speeds的简单管理方式,”Shackleford说道。
现在的防火墙和安全平台都对保障虚拟环境的安全需求问题进行了特别的关注。例如,VMware的vSphield App,跟VMware kernel融为一体并提供了扩展应用过滤。同时,VMware还有vShield Edge用于防火墙和分布式虚拟交换机用于端口镜像和流量监控,而且思科的企业级Nexus 1000v可以跟VMware集成,对Hyper-V的支持还在测试阶段。
“虚拟交换机正在模仿传统企业级交换机具备的功能,”Shackleford说。
移动性和虚拟化安全障碍
除了传统的数据中心关注点之外,专家认为还有一些跟移动设备相关的虚拟化安全挑战。
Xchanging公司解决方案高级总监Brian Rapp认为,以虚拟化为例,无论从桌面还是应用层都可以通过阻止最终用户把应用下载到移动设备的方式,帮助IT人员降低数据安全风险,
虚拟化支持IT安全部门把内容和数据推送到最终用户的移动设备端,这样避免了用户下载应用方式潜在的安全风险。“这样,IT管理者在网络层控制内容,而IT系统也具备更为集中化的命令、控制和灵活性,”Rapp说到。
提供企业级安全咨询、审计和测试服务的Stach & Liu公司的高级安全顾问Kevin Lawrence认为,虚拟化可以为移动设备安全性方面提供全新的帮助。
传统模式“把每个终端都作为传统IT设备对待”,需要对每个手机、平板或笔记本电脑提供和传统台式工作站相同级别的控制。然而Lawrence认为,更为高效的解决方案是虚拟化所有的数据存取,“如果您的BYOD终端设备正在访问某台服务器或虚拟空间进行数据修改和存取操作,数据实际上不是存储在设备上的,”他说。各个公司根据拥有资源的不同也在采取对应的解决方案。
安全软件公司Sophos的资深安全工程师David Schwartzberg认为,最终会出现dual persona双重角色办法。在该模式下,管理员可以设置工作端设备的安全策略。而dual persona的实现有很多方法,例如分离应用和系统资源,或通过容器分隔用户数据和企业数据,他解释道。
“VMware的Horizon Mobile也是通过hypervisor实现移动设备角色虚拟化的案例,”Schwartzberg说道。这是虚拟化为安全服务的另一个更为高效的方法。
在现在的虚拟化世界,安全问题面临不断变化的各种挑战。随着各种技术的变化,也不要忘记人为问题的解决,Shackleford说道。“它帮助把IT组、虚拟化组和存储组人员联系到一起来解决安全问题。”