英特爾高管:虛擬化省錢沒省心
虛擬化并不是一件容易的事情。安全問題使復雜的虛擬化過程更加困難。安全問題也是匆忙實施這種技術的企業經常容易忽略的問題。
英特爾安全解決方案經理Steve Orrin對那些正在打算部署虛擬化技術的人們提出了一些簡單而有用的忠告。他說,最開始的時候不要對高價值的重要任務的東西實施虛擬化。首先可以對一些值得投資的有價值的東西進行虛擬化,但是,這些東西并沒有重要到這種程度,以至于一旦中斷就會產生嚴重的問題。
Orrin補充說,由于有許多新的基礎設施,將會出現許多錯誤和挑戰。要學習,并且把學到的東西應用到高價值的系統中。
Orrin將在下個星期舉行的ISACA國際會議上發表一個題為“從虛擬化與安全到基于虛擬化的安全”的報告。這個報告的主題是安全應該能夠幫助虛擬化的部署,而不是阻礙虛擬化的部署。
節省金錢但是沒有減少擔心
Orrin說,如果安全經常是虛擬化部署中事后才想起的事情,這個原因也許是虛擬化的目標單純地方在了節省成本方面,而沒有發揮虛擬化提供的日益增多的靈活性的優勢。
Orrin指出,管理員應該理解虛擬化對于他們意味著什么。在你走出一臺服務器僅運行一個應用程序的世界的時候,可能會出現許多安全問題,還有許多像安全問題一樣難以解決的運營問題。
當應用程序從一臺服務器遷移到另一臺服務器,改變它們使用的資源,甚至改變它們的位置的時候,安全的要素變得更加復雜了。你對于不同的虛擬機需要不同水平的安全。人們從20臺服務器減少到一臺大型服務器,重要任務的應用程序與實驗的應用程序以及小型的IT和人力資源應用程序都在同一臺機器上運行。一個安全政策如何覆蓋所有這些應用程序?
Orrin說,但是,大多數部署比這種情況更復雜。在大多數機構,這不是20:1的整合。許多機構在多個地方有多個數據中心,管理員還要整合數據中心。
缺乏安全政策
Orrin說,這個解決方案要有一個說明許多安全水平(可能是高、中和低級)的安全政策,并且逐步地實施虛擬化。如果做得好,就會得到遵守法規的益處。他說,我看到許多例子,人們發現很容易使用安全控制并且把這些措施報告給審計者。
但是,做得很好并不容易。有一個新的軟件層需要保證其安全。這個軟件層就是管理程序以及一個虛擬機管理器。虛擬化技術能夠幫忙。
Orrin說,VMsafe和類似于Xen的工具能夠讓你利用虛擬機管理器,這樣,一臺虛擬機就能夠為另一個虛擬機做殺毒的事情。這個目標是利用你現有的安全機制并且讓這個安全機制熟悉虛擬化。
讓殺毒軟件屬性虛擬化是一件事情,讓防火墻熟悉虛擬化是一件更困難的事情。云計算中的防火墻不能運行同樣水平的保護,特別是如果管理程序運行虛擬機之間的通訊的話。
Orrin補充說,一些人對此做出的反應是把所有的網絡通訊重新傳送到網絡,而不允許虛擬機相互之間直接交換數據包。思科和瞻博網絡等一些廠商讓你那樣做,然而你那樣做就得不到虛擬化提供的效率優勢。從效率的觀點看,虛擬設備有很大意義,但是,如果你同那些已經建立虛擬設備的人們談論這個事情,你會發現那里有一些局限性。
大型計算機能夠簡化虛擬化嗎?Orrin說,大型機是所有的虛擬化的祖先。IBM喜歡談論這個事情。但是,如果你與大型機一起使用Linux或者Unix操作系統,大型計算機擁有自己的接入控制和流程隔離設施,并且當你設法將大型計算機與客戶機-服務器架構以及VMware混合使用的時候,大型計算機會出現故障。
Orrin稱,他喜歡大型計算機的想法。他是主張使用大型計算機的人。他看到了大型計算機的魅力和力量。那不是Windows或者Unix服務器。他補充說,企業所有的重要任務軟件都放在大型計算機上的情況是很少的。這可能是虛擬化部署的一個有價值的部分。
Orrin指出,虛擬化的另一個關鍵問題是,在許多虛擬化部署中,通用的虛擬機模板存儲下來,然后根據需要復制和配置。人們根據一個黃金拷貝建立虛擬機。如果有人試圖攻擊這個黃金拷貝,他們就能夠根據每一個實例的情況破壞整個系統。安全軟件僅查看運行的東西,而黃金拷貝是不運行的。因此,你需要能夠調查這些黃金拷貝。一個休息的虛擬機是一個大型的ISO文件。
Orrin補充說,企業生產提供必要的安全保護的產品。他們提供在設置之前的改變控制與管理以及一個虛擬機的證明。在遷移期間,虛擬機在線路上能夠遭到攻擊。甚至還有虛擬機在兩臺服務器之間遷移的時候遭到攻擊的例子。這種攻擊改變轉送中的安全數據。因此,要保護虛擬機的完整性,他們必須要保證正在配置的虛擬機是原始的,也就是沒有修改過的虛擬機。
Orrin說,好消息是有許多工具和技術能夠解決這些問題。IT部門只需要使用合適的工具。
【編輯推薦】
