虚拟化管理员有可能为企业带来最大的风险,我们必须要了解为什么IT经理和主管们会任由这一潜在的安全风险野蛮生长。
随着虚拟化不断进入企业,传统的数据中心角色正在发生变化。现在,企业按岗位聘用员工,形成了独立的数据中心硬件、网络、存储、操作系统支持团队。尽管这些团队彼此交互,但员工的角色通常不会产生交叉,因为技术领域将职责隔离开来。随着数据中心不断引入虚拟化,新的角色产生了。虚拟化管理员——这一新角色取代了传统的堆架式数据中心人员,允许企业将更大的硬件整合为更小的规模。数据中心专有的硬件角色已经逐渐从现代数据中心中消失了。
多数企业中,网络和存储团队仍旧存在,并在非虚拟化环境运作。现在这一状况正在发生变化。很多年之前,VMware提出了软件定义的数据中心,但很多人并不确定该术语意味着什么。VMware推出了第一个vSAN,将存储转为标准的产品,这和ESX服务器虚拟化类似,VMware的愿景变得更清晰了。VMware在2013年推出了其网络虚拟化产品NSX,旨在从网络硬件抽象出网络层。除虚拟化管理员外,VMware将另两大团队带入了虚拟化世界。尽管企业仍可以抵制整合并保留传统的专业分工,但潜在的成本及管理节约却无法忽略。这正是虚拟化管理员成为数据中心焦点并可能是企业最大风险的原因所在。
安全专家指出,最大的一些安全漏洞来自内部员工,而不是黑客。这就是为什么部门职责和访问如此重要的原因。然而,采用软件定义的数据中心,我们是将所有的鸡蛋放在了一个篮子中。这不是号召使用隐藏摄像机对虚拟化管理员进行监控。毕竟,处于这种状况并不是他的错。让我们考虑一些用于帮助解决这些安全问题的策略。
向其他团队开放虚拟环境
技术团队可能泾渭分明,但是在当今灵活及快节奏的软件定义的环境中,我们要具备比以往更加综合的技能。网络团队不应该简单地停留在传统的OSI层,而是扩展到虚拟交换机。我们不只要配置虚拟交换机还要对其负责。对虚拟化管理员来说,虽然这个想法有些激进,但网络管理员的技能对于虚拟环境是很重要的。如果网络管理员具备虚拟网络的管理权限,那么虚拟网络将不再被视为一种威胁,而且在扩展、升级时能够更好地凝聚团队,因为这涉及到所有人的既得利益。虚拟化环境一直是虚拟化管理员的领地,但这并不意味着他们在涉及虚拟化如网络和存储等所有方面都是专家。
考虑合规性软件
Hytrust、VMware以及BeyondTrust等厂商都推出了具备审计、权限管理以及合规性功能的产品。这些软件包能够审计所有人,包括虚拟化管理员滥用虚拟环境的情况。企业可通过自定义策略来定义“滥用”,不仅不会限制虚拟化管理员的工作,还能保护虚拟环境。以上产品都无法避免虚拟管理员蓄意中断业务或者破坏数据。相反,这些产品旨在通过限制访问避免无心之过,针对无法解释的问题提供审计功能。
设置并加强文档策略
大多数人认为最大的威胁是恶意操作,往往忽略了更大的风险:忠诚的虚拟化管理员带来另一个风险,员工离职可能会带来严重的后果。IT人员并不是一直在勤奋地编写文档,他们通常喜欢先干活,等有时间再编写。更常见的是,有经验的管理员离职后往往会带走这些信息,只留下一个复杂的环境。高级管理员需要花心思了解其工作原理并试图对其提供支持。只留给管理员两周时间,他没有足够的时间编写文档、绘制图表、进行知识转移以及跨团队的培训。该过程必须尽早启动,提供管理支持、使用能够建立文档与环境映射的产品。NeverFail IT Continuity Architect是一款能够建立虚拟化环境映射的产品,如果核心员工离职,新员工不用从头开始。
技术竖井曾经是一个有价值的架构,不同的技能组合来管理不同类型的硬件。随着服务器、网络和存储成为真正的推动数据中心发展的标准硬件和软件产品,传统的技术界限已经变得模糊。交叉培训、明确所有权、审计软件、文档以及准确理解虚拟环境的角色都是避免虚拟管理员成为企业最大风险的有效方式。