当2007年虚拟机开始大行其道的时候,许多IT部门皆表示他们会把运行速度作为首要考量。(不必惊讶,因为大部分企业都是从测试和应用开发箱入手来推进虚拟化实施的,而不是运行核心商业应用的服务器。)
根据IDC的调查显示,有75%规模超过1000人的企业已经开始采用虚拟化。然而Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会上预测,到2009年,60%虚拟机的安全性将大大弱于相应的物理服务器。
安全专家Chris Hoff指出,目前大部分关于虚拟化安全问题的探讨都是流于表面,人们通常是拿虚拟服务器与物理服务器来比较说事。的确,目前某些IT部门都犯了一种根本的错误: 他们让服务器组单枪匹马地去进行虚拟化工作 – 而把IT团队的安全、储存和网络专家关在了门外。 这将会造成与虚拟化技术或产品内在缺陷无关的安全问题。
的确,由于大部分IT团队推进虚拟化的速度太快,以至于他们自己有点跟不上。 倘若你没有与专家一起规划虚拟化, 那么扩展虚拟机数量并在虚拟机上运行大型应用就是一件令人担忧的事了。因为,他们根本没有足够的精力来顾及虚拟化的安全问题。
接下来,我们来详细看看企业打造安全虚拟化的10大步骤:
1. 控制虚拟机增长过快
创建虚拟机只要几分钟。 它们的确能很好地隔离一定程度的计算工作。 但你拥有的虚拟机越多,你所面临的安全风险就越高。 你最好能对所有的虚拟机都保持追踪。
要保持对虚拟机的追踪,这个时候最好的办法是先从虚拟化简单的测试和开发箱入手,继而转向小型的应用服务器, 然后逐步扩大。 的确,在部署虚拟机的时候适当遵循一定的准则是非常重要的,因为一步登天会增加很大的风险。而如果虚拟机增长过快,那么管理者对虚拟机的追踪也会变得非常困难,因此适度控制虚拟机增长的速度也相当重要。
虚拟机的增长过快是一个大问题,它会导致在管理、维护和生产上的落后。同时,如果你无法有效的控制虚拟机的数量,那些出乎意料的管理问题也会造成成本激增。
那么该如何控制服务器增长过快呢? 有一个方法: 像创建物理服务器一样地去创建虚拟服务器或虚拟机。而VMware的 VirtualCenter 管理工具与Vizioncore的工具也能帮助IT管理虚拟机的增长过快。
2. 将你现有的流程应用到虚拟机上
虚拟化最大的魅力或许就在于它的速度: 你可以在几分钟内就创建一个虚拟机,并在一天之内就为你的商业部门提供新的动力。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重,要让虚拟化成为你现有IT流程的一部分,并且将预防安全问题放在第一位。 否则,你会逐渐发现更多令人头疼的管理问题。
考虑虚拟化不仅要站在技术的角度,而且还要从流程出发。比方说,如果你是使用ITIL来引导你的IT流程,那么你要事先考虑如何将虚拟化融入到那个流程框架里。 如果你是使用其它IT最佳实践,也要考虑到融合的问题。
3. 从你现有的安全工具入手,但要保持谨慎
你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 不。从你现有的安全工具入手,将它们运用到虚拟环境中会更务实。 但你要给厂商一点压力,告诉他们该如何密切留意虚拟化的风险,以及如何与其它产品保持集成。
在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的观点, 认为市场上有些安全工具早就加入了虚拟化的概念。但是平台工具(比如VMware工具)并不是已经足够。比如在使用使用虚拟服务器来作为活动目录服务器、打印服务器、CRM应用服务器和网站服务器 – 最后这项是一个关键任务应用,继续使用防火墙和安全产品来保障安全也是非常重要的。
另外,还有一些软件可以保障虚拟机的安全。
比方说,BlueLane的VirtualShield就宣称它甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全,自动扫描潜在的问题,升级问题区域,并保护它远离远程威胁的侵害。
Reflex Security的Virtual Security Appliance (VSA)是少数需要引起关注的产品之一,它对虚拟入侵检测系统(IDS)尤其有用,在虚拟机所在的物理箱中为其添加了一层安全策略。 这可以防止Hypervisor免遭攻击,Abbene的团队表示。
4. 了解内嵌式Hypervisor的价值
或许你早已听说过“内嵌式”Hypervisor,这是IT管理人必须了解的词汇。 服务器上的Hypervisor层是虚拟机的根本。 VMware近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的不包含OS的应用。 (没有OS也就意味着没有OS维护上的麻烦。)
像DELL和HP等硬件厂商近期都表示他们会在服务器出货时预装这种内嵌式VMwareHypervisor。 基本看来,内嵌式Hypervisor因为相对较小,因为代码库越大,受攻击的可能性也越大。
内嵌式Hypervisor将会成为未来的一大趋势,越来越多的服务器厂商会使用它们,有些厂商以前不使用的也会使用它们。
Hypervisor市场的竞争与创新对企业来说未尝不是一件好事,它能激励厂商争相提供更加瘦身、智能的Hypervisor软件。
降低受攻击的可能性并非嵌入式Hypervisor的唯一强项。 Mazda的IT小组正期待即将到来的预置了VMware ESX server的DELL服务器,该小组期待的功能之一是所有的VM镜像都能在SAN上展现。这种集中管理与安全的方式也意味着Mazda能够订购一台没有硬盘的服务器,从而达到物理安全的目的。
5. 不要给虚拟机指派过度的权限
务必牢记,在你对虚拟机指派管理级别的访问权限时,你就等于授权访问那台虚拟机的所有数据。所以管理者一定要仔细斟酌备份管理人员需要哪些帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的。 这些厂商甚至连自己没有遵照VMware关于VMware Consolidated Backup的最佳实践来执行。
应用开发员的访问权限要尽量降低。 要么降低应用开发人员的访问权限,要么让他们进行共享访问,他们无法访问OS。 这帮助公司控制了虚拟机的增长,同时提高了安全性。
