虛擬化在IT領(lǐng)域中所覆蓋的范圍很廣。在“一個應(yīng)用，一個服務(wù)器”這一規(guī)則引領(lǐng)多年后，IT架構(gòu)的容量已經(jīng)不再能滿足需求，而且也不具有成本效益。隨著虛擬化的興起，以及在單個服務(wù)器上托管多個虛擬機的趨勢，很多與之相關(guān)的問題也顯現(xiàn)出來。

由于多個虛擬機可以放到單個服務(wù)器上，IT組織就可以確定該機器的處理能力被分配到了多個應(yīng)用上。通常以單個字節(jié)來衡量的利用率可增加到70%甚至更多，這樣就確保了高成本，低利用率服務(wù)器上的浪費情況比較少。

虛擬化的轉(zhuǎn)變也經(jīng)歷了所謂的“虛擬化停滯”。這是指許多企業(yè)在對25%的服務(wù)器完成虛擬化后，就停止了虛擬化的步伐。

當你研究造成這種現(xiàn)象的原因時，通常回發(fā)現(xiàn)這種虛擬化只是將所有簡單的服務(wù)器進行虛擬化操作(例如，dev機器或低風險的內(nèi)部IT應(yīng)用，如DNS)但是沒能成功對其生產(chǎn)應(yīng)用進行虛擬化操作。

造成這種停滯的原因很多，但是其中很重要的一點就是安全因素。安全團隊不確定要如何將為物理環(huán)境設(shè)計的實例應(yīng)用到虛擬環(huán)境中。雖然存在這樣的疑惑，但是其方向還是明確的：安全實例必須得到更新以打破虛擬化停滯不前的僵局。

下面是虛擬化過程中，安全組織面臨的三個最常見問題：

1、網(wǎng)絡(luò)流量可視性的缺乏

許多安全組織用監(jiān)控網(wǎng)絡(luò)流量的方式來識別和攔截惡意流量以及滲透。供應(yīng)商也發(fā)布了專用裝置來執(zhí)行監(jiān)控以減輕安裝和配置過程中的壓力。將這些裝置安裝到網(wǎng)絡(luò)上就如同安裝到另一個服務(wù)器上一樣，只需啟用這些裝置然后以小時或以日為單位來運行。這種方法簡化了安全實例的執(zhí)行過程，而且是硬件受限的安全團隊和IT運營團隊的福音。

只是，這種方法在虛擬環(huán)境的應(yīng)用還存在一個問題。同一個服務(wù)器上的不同虛擬機都是通過hypervisor的內(nèi)聯(lián)網(wǎng)來溝通，安全裝置所在的物理網(wǎng)絡(luò)上沒有數(shù)據(jù)包傳輸。當然，如果虛擬機被放置到不同服務(wù)器上，那么內(nèi)部虛擬機流量就會在其網(wǎng)絡(luò)上傳輸，從而可以被檢測到。不過，出于性能方面的考慮，與相同應(yīng)用相關(guān)聯(lián)的虛擬機(例如，一個應(yīng)用的Web服務(wù)器和數(shù)據(jù)庫服務(wù)器)通常都位于同一個物理服務(wù)器上。

幸好，供應(yīng)商已經(jīng)想到辦法解決這個問題。虛擬化供應(yīng)商已經(jīng)在其hypervisor中放入了hook，而思科和Arista等網(wǎng)絡(luò)供應(yīng)商已經(jīng)習慣將其與虛擬機合用，以此實現(xiàn)流量監(jiān)測。所以，這個問題也變得不再糾結(jié)，盡管它要求升級到目前的網(wǎng)絡(luò)交換方法，而且安全產(chǎn)品也要較新的模式。你可以將這話理解為需要更多的資金投入。不過，單單缺乏可視性還不足以讓企業(yè)推遲生產(chǎn)應(yīng)用的虛擬化操作。

2、性能對安全經(jīng)費的影響

在單個服務(wù)器上支持多個虛擬機的好處對于服務(wù)器制造商而言已經(jīng)變得非常明顯，他們也隨之修改了自己的服務(wù)器設(shè)計。和以前能支持五個虛擬機的的1U機器不同，現(xiàn)在的4U刀片服務(wù)器具備幾百G的緩存和大量網(wǎng)卡。因此，服務(wù)器現(xiàn)在通常可支持25或50個虛擬機。成本效益和利用率非常高，但是在單個服務(wù)器上托管如此多的虛擬機也可能導(dǎo)致其他問題。

每個服務(wù)器只管理自己的安全產(chǎn)品，由此便導(dǎo)致了一些常見問題。典型的例子就是反病毒。在許多IT組織中，每個服務(wù)器都是同時更新自己的反病毒簽名，這樣就導(dǎo)致25或50個虛擬機同時發(fā)布相同操作。所以會導(dǎo)致傳輸量降低，從而影響服務(wù)器性能。

幸好，有新的技術(shù)性方案可用。第一，就好比虛擬化供應(yīng)商開放API，允許網(wǎng)絡(luò)供應(yīng)商整合到hypervisor，他們現(xiàn)在也開放了API讓安全公司推出不需要安裝到每個虛擬機上的新產(chǎn)品。相反，這類產(chǎn)品本身就是虛擬機。

當hypervisor意識到流量需要調(diào)用一個反病毒項目的時候，就會把調(diào)用轉(zhuǎn)發(fā)到虛擬機的反病毒軟件上，再由虛擬機執(zhí)行掃描。這樣就避免了25臺機器同時進行反病毒操作，一臺虛擬機代表25臺機器運行反病毒顯然是更好的方法。

或許你猜得到第二個方法是以云為基礎(chǔ)。類似對文檔的重復(fù)反病毒掃描等操作需要發(fā)布成千上萬個反病毒簽名文件，為什么不讓上百萬端點調(diào)用一個位于中央位置的以云為基礎(chǔ)的方案呢?供應(yīng)商可以確保其有足夠的資源來控制流量，而用戶則可以避免性能方面的問題，且不需要在安全軟件方面投入更多資本。這種方法帶來了顯著效益，而且我們在不久的將來會聽到更多以云為基礎(chǔ)的安全方案。

3、周邊被破壞

一月在華盛頓特區(qū)召開的安全威脅會議上談到的一個主題就是認為自己的周邊不會被滲透的想法是愚蠢的。有組織犯罪團體的崛起以及幕后有政府支持的黑客都使得這種定向攻擊極其復(fù)雜。

互聯(lián)網(wǎng)安全聯(lián)盟CEOLarryClinton提供了一些有關(guān)安全威脅及其影響的統(tǒng)計數(shù)據(jù)，統(tǒng)計結(jié)果令人感到害怕。簡而言之，目前的安全方法都不能滿足需求。不法分子可以安裝長期運行的僵尸程序，令其對服務(wù)器的數(shù)據(jù)進行篩選，從而識別和竊取重要數(shù)據(jù)。也可以理解為我們所說的APT。

那該如何是好?

當然，可以整合專門的安全產(chǎn)品層來解決APT威脅。新舊供應(yīng)商都想向你售賣針對APT的安全產(chǎn)品。筆者并非貶低這些產(chǎn)品，只是這類威脅會增加安全實例在個人服務(wù)器或VM級別(換言之是安全在實例級別)的重要性，你應(yīng)該進行整體監(jiān)控并使用入侵防御系統(tǒng)。

將這些產(chǎn)品都放到一個虛擬機上與“把安全放到虛擬機外”的方法不相符，當然，也有更好的想法：只能在機器上執(zhí)行的安全應(yīng)該位于機器上，同時可通過若干機器共享的安全應(yīng)該遷移到中心位置。安全工作向來就是平衡各方面的利弊。

小結(jié)：虛擬化經(jīng)濟意味著這種運算模式有望得到廣泛傳播，想要阻止這種趨勢的人猶如螳臂當車。

原文鏈接：http://www.computerworld.com/s/article/9224979/3_key_issues_for_secure_virtualization?taxonomyId=17