加強(qiáng)數(shù)據(jù)中心虛擬化安全的10個步驟

虛擬服務(wù)器是有很多好處，但它的安全問題完全暴露了嗎?如何確保安全性?可以采用下面十個積極步驟。
    2007年，數(shù)據(jù)中心虛擬化方面的重大問題
    還是“該技術(shù)可節(jié)省多少資金和時間?”而到2008年，這個問題將變成“采用該技術(shù)，我們會有多安全?”
    這是一個極難回答的問題。
    一大批拼命推銷虛擬化產(chǎn)品和服務(wù)的廠商、顧問在風(fēng)險及如何防范風(fēng)險方面存在相左的觀點(diǎn)。同時，一些安全研究人員也在大肆宣傳理論上存在的風(fēng)險，比如可能會出現(xiàn)的惡意軟件。市場研究公司伯頓集團(tuán)的高級分析師Chris Wolf說: “現(xiàn)在虛擬化方面的動靜很大，讓人暈頭轉(zhuǎn)向?！?BR>    許多IT部門表示，在2007年開始創(chuàng)建成千上萬個新的虛擬機(jī)時，他們認(rèn)為運(yùn)行速度比其他因素(如安全規(guī)劃)更重要。IDC公司負(fù)責(zé)企業(yè)系統(tǒng)管理軟件的研究主任Stephen Elliott說: “安全是虛擬化擴(kuò)建過程中被遺忘的一個角落。要是想想現(xiàn)在虛擬機(jī)的數(shù)量，確實(shí)挺讓人擔(dān)憂。”據(jù)IDC聲稱，如今，員工總數(shù)不少于1000人的公司當(dāng)中有75%在使用虛擬化技術(shù)。
    Gartner公司的副總裁Neil MacDonald在去年10月舉辦的Symposium/ITxpo大會上預(yù)測，到2009年，60%的生產(chǎn)虛擬機(jī)安全性將不如物理服務(wù)器。
    安全專家Chris Hoff認(rèn)為，到目前為止，圍繞虛擬化安全的討論大部分都是片面的。他是優(yōu)利系統(tǒng)公司安全創(chuàng)新部門的首席架構(gòu)師。其實(shí)應(yīng)該這么考慮: “已經(jīng)把知道的安全知識運(yùn)用到了虛擬化環(huán)境中嗎?我們應(yīng)當(dāng)確保構(gòu)建的虛擬網(wǎng)絡(luò)要與構(gòu)建的物理網(wǎng)絡(luò)一樣可靠、安全?！?BR>    某些IT部門正在犯一個根本的錯誤: 他們讓服務(wù)器部門單槍匹馬地開展虛擬化項(xiàng)目，沒有讓IT團(tuán)隊(duì)的安全、存儲和網(wǎng)絡(luò)專家參與進(jìn)來。這會給虛擬化技術(shù)帶來內(nèi)在的安全問題缺陷。
    伯頓集團(tuán)的Wolf說: “虛擬化絕大部分靠規(guī)劃，而規(guī)劃必須讓全部團(tuán)隊(duì)參與進(jìn)來，包括網(wǎng)絡(luò)、安全和存儲等團(tuán)隊(duì)?！倍聦?shí)上，大多數(shù)IT團(tuán)隊(duì)在迅速推進(jìn)虛擬化的項(xiàng)目，安全方面的工作跟不上。如果錯失了與所有專家一起規(guī)劃的大好機(jī)會，那該怎么辦呢?Wolf說: “安全方面想迎頭趕上，不妨從認(rèn)真審查虛擬基礎(chǔ)設(shè)施入手，這要借助工具或者顧問。”
    下面是企業(yè)為了加強(qiáng)虛擬機(jī)安全可以采取的十個積極步驟:
    一 控制虛擬機(jī)的數(shù)量
    創(chuàng)建虛擬機(jī)只要短短幾分鐘。但虛擬機(jī)數(shù)量越多，面臨的安全風(fēng)險也越大。所以，能夠跟蹤所有的虛擬機(jī)。
    Arch Coal公司負(fù)責(zé)IT的CIO Michael Abbene說: “我們先對很不重要的測試和開發(fā)設(shè)備進(jìn)行了虛擬化處理，然后轉(zhuǎn)向一些不太重要的應(yīng)用服務(wù)器。因?yàn)橐恢焙艹晒?，所以我們把目?biāo)放在比較重要的服務(wù)器上，但這么做會加大風(fēng)險系數(shù)?！痹摴灸壳按蠹s有45個虛擬機(jī)，包括活動目錄服務(wù)器以及幾臺應(yīng)用服務(wù)器和Web服務(wù)器。
    那么，如何控制服務(wù)器數(shù)量激增?一個方法是: 創(chuàng)建虛擬服務(wù)器要像創(chuàng)建物理服務(wù)器一樣嚴(yán)格。在Arch Coal公司，IT團(tuán)隊(duì)對創(chuàng)建新虛擬機(jī)的審批很嚴(yán)?！盁o論是物理服務(wù)器還是虛擬服務(wù)器，都要通過同樣的流程才能獲得批準(zhǔn)?！盇rch Coal的微軟系統(tǒng)管理員Tom Carter說。
    為此，Arch Coal的IT部門通過一個委員會(由服務(wù)器和存儲等不同部門的IT員工組成，實(shí)現(xiàn)輪崗制)批準(zhǔn)或者否決申請。這意味著應(yīng)用開發(fā)部門的人員根本無法擅自構(gòu)建VMware服務(wù)器，不過他允許開發(fā)人員提出要求。
    專家認(rèn)為，虛擬機(jī)數(shù)量激增是一大問題，會導(dǎo)致管理、維護(hù)性能及配置供應(yīng)的能力出現(xiàn)滯后。“另外，如果虛擬機(jī)的數(shù)量超出了控制范圍，就會出現(xiàn)意料不到的管理成本?！盩om Carter說。
    二 運(yùn)行更多流程
    虛擬化技術(shù)最吸引人的也許在于速度: 只要幾分鐘就能創(chuàng)建虛擬機(jī)，可以輕松移動，只需要一天而不是幾周即可提供新的計(jì)算功能。但I(xiàn)DC的Elliott認(rèn)為，放慢節(jié)奏，認(rèn)真考慮虛擬化成為現(xiàn)有IT流程的一部分，就能夠從根本上預(yù)防安全問題。
    Elliott說: “流程至關(guān)重要?？紤]虛擬化時不僅要站在技術(shù)的角度，還要站在流程的角度?！迸e例說，如果使用ITIL來指導(dǎo)IT流程，就要考慮虛擬化是否適合流程框架。如果使用其他IT實(shí)踐，也要考慮虛擬化的適應(yīng)性。
    Hoff舉例說: “如果要加強(qiáng)服務(wù)器安全，就應(yīng)當(dāng)對虛擬服務(wù)器采取與物理服務(wù)器同樣的一套做法。”
    在Arch Coal公司，Abbene的IT團(tuán)隊(duì)就是這么做的。Abbene說: “我們確保物理服務(wù)器安全的實(shí)踐運(yùn)用到了每一個虛擬機(jī)上?！奔訌?qiáng)操作系統(tǒng)安全、在每一個虛擬機(jī)上運(yùn)行反病毒軟件、確保落實(shí)補(bǔ)丁管理，這些措施使得虛擬機(jī)具有同樣的安全流程。