虛擬效勞器是有很多益處，但它的平安問題完整暴露了嗎?如何確保平安性?能夠采用下面十個(gè)積極步驟。

　　去年，數(shù)據(jù)中心虛擬化方面的嚴(yán)重問題還是“該技術(shù)可儉省幾資金和時(shí)間?”而到今年，這個(gè)問題將變成“采用該技術(shù)，我們會(huì)有多平安?”這是一個(gè)極難答復(fù)的問題。

　　一大批拼命采購虛擬化產(chǎn)品和效勞的廠商、參謀在風(fēng)險(xiǎn)及如何防備風(fēng)險(xiǎn)方面存在相左的觀念。同時(shí)，一些平安研討人員也在大肆宣傳理論上存在的風(fēng)險(xiǎn)，比方可能會(huì)呈現(xiàn)的歹意軟件。市場(chǎng)研討公司伯頓集團(tuán)的高級(jí)剖析師ChrisWolf說:“如今虛擬化方面的動(dòng)靜很大，讓人暈頭轉(zhuǎn)向。”

　　許多IT部門表示，在去年開端創(chuàng)立成千上萬個(gè)新的虛擬機(jī)時(shí)，他們以為運(yùn)轉(zhuǎn)速度比其他要素(如平安規(guī)劃)更重要。IDC公司擔(dān)任企業(yè)系統(tǒng)管理軟件的研討主任StephenElliott說:“平安是虛擬化擴(kuò)建過程中被遺忘的一個(gè)角落。要是想想如今虛擬機(jī)的數(shù)量，的確挺讓人擔(dān)憂。”據(jù)IDC宣稱，往常，員工總數(shù)不少于1000人的公司當(dāng)中有75%在運(yùn)用虛擬化技術(shù)。

　　Gartner公司的副總裁NeilMacDonald在去年10月舉行的Symposium/ITxpo大會(huì)上預(yù)測(cè)，到2009年，60%的消費(fèi)虛擬機(jī)平安性將不如物理效勞器。

　　平安專家ChrisHoff以為，到目前為止，盤繞虛擬化平安的討論大局部都是片面的。他是優(yōu)利系統(tǒng)公司平安創(chuàng)新部門的首席架構(gòu)師。其實(shí)應(yīng)該這么思索:“曾經(jīng)把曉得的平安學(xué)問運(yùn)用到了虛擬化環(huán)境中嗎?我們應(yīng)當(dāng)確保構(gòu)建的虛擬網(wǎng)絡(luò)要與構(gòu)建的物理網(wǎng)絡(luò)一樣牢靠、平安。”

　　某些IT部門正在犯一個(gè)基本的錯(cuò)誤：他們讓效勞器部門單槍匹馬地展開虛擬化項(xiàng)目，沒有讓IT團(tuán)隊(duì)的平安、存儲(chǔ)和網(wǎng)絡(luò)專家參與進(jìn)來。這會(huì)給虛擬化技術(shù)帶來內(nèi)在的平安問題缺陷。

　　伯頓集團(tuán)的Wolf說：“虛擬化絕大局部靠規(guī)劃，而規(guī)劃必需讓全部團(tuán)隊(duì)參與進(jìn)來，包括網(wǎng)絡(luò)、平安和存儲(chǔ)等團(tuán)隊(duì)。”而事實(shí)上，大多數(shù)IT團(tuán)隊(duì)在疾速推進(jìn)虛擬化的項(xiàng)目，平安方面的工作跟不上。假如錯(cuò)失了與一切專家一同規(guī)劃的大好時(shí)機(jī)，那該怎樣辦呢?Wolf說：“平安方面想躊躇不前，無妨從認(rèn)真檢查虛擬根底設(shè)備動(dòng)手，這要借助工具或者參謀。”

　　下面是企業(yè)為了增強(qiáng)虛擬機(jī)平安能夠采取的十個(gè)積極步驟：

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患一、控制虛擬機(jī)的數(shù)量

　　創(chuàng)立虛擬機(jī)只需短短幾分鐘，但虛擬機(jī)數(shù)量越多，面臨的平安風(fēng)險(xiǎn)也越大，所以，最好可以跟蹤一切的虛擬機(jī)。

　　ArchCoal公司擔(dān)任IT的CIOMichaelAbbene說：“我們先對(duì)很不重要的測(cè)試和開發(fā)設(shè)備停止了虛擬化處置，然后轉(zhuǎn)向一些不太重要的應(yīng)用效勞器。由于不斷很勝利，所以我們把目的放在比擬重要的效勞器上，但這么做會(huì)加大風(fēng)險(xiǎn)系數(shù)。”該公司目前大約有45個(gè)虛擬機(jī)，包括活動(dòng)目錄效勞器以及幾臺(tái)應(yīng)用效勞器和Web效勞器。

　　那么，如何控制效勞器數(shù)量激增?一個(gè)辦法是:創(chuàng)立虛擬效勞器要像創(chuàng)立物理效勞器一樣嚴(yán)厲。在ArchCoal公司，IT團(tuán)隊(duì)對(duì)創(chuàng)立新虛擬機(jī)的審批很嚴(yán)。“無論是物理效勞器還是虛擬效勞器，都要經(jīng)過同樣的流程才干取得批準(zhǔn)。”ArchCoal的微軟系統(tǒng)管理員TomCarter說。

　　為此，ArchCoal的IT部門經(jīng)過一個(gè)委員會(huì)(由效勞器和存儲(chǔ)等不同部門的IT員工組成，完成輪崗制)批準(zhǔn)或者否決申請(qǐng)。這意味著應(yīng)用開發(fā)部門的人員基本無法擅自構(gòu)建VMware效勞器，不過他允許開發(fā)人員提出請(qǐng)求。

　　專家以為，虛擬機(jī)數(shù)量激增是一大問題，會(huì)招致管理、維護(hù)性能及配置供給的才能呈現(xiàn)滯后。“另外，假如虛擬機(jī)的數(shù)量超出了控制范圍，就會(huì)呈現(xiàn)預(yù)料不到的管理本錢。”TomCarter說。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患二、運(yùn)轉(zhuǎn)更多流程

　　虛擬化技術(shù)最吸收人的或許在于速度：只需幾分鐘就能創(chuàng)立虛擬機(jī)，能夠輕松挪動(dòng)，只需求一天而不是幾周即可提供新的計(jì)算功用。但I(xiàn)DC的Elliott以為，放慢節(jié)拍，認(rèn)真思索虛擬化成為現(xiàn)有IT流程的一局部，就可以從基本上預(yù)防平安問題。

　　Elliott說：“流程至關(guān)重要。思索虛擬化時(shí)不只要站在技術(shù)的角度，還要站在流程的角度。”舉例說，假如運(yùn)用ITIL來指導(dǎo)IT流程，就要思索虛擬化能否合適流程框架。假如運(yùn)用其他IT最佳理論，也要思索虛擬化的順應(yīng)性。

　　Hoff舉例說：“假如要增強(qiáng)效勞器平安，就應(yīng)當(dāng)對(duì)虛擬效勞器采取與物理效勞器同樣的一套做法。”

　　在ArchCoal公司，Abbene的IT團(tuán)隊(duì)就是這么做的。Abbene說：“我們確保物理效勞器平安的最佳理論運(yùn)用到了每一個(gè)虛擬機(jī)上。”增強(qiáng)操作系統(tǒng)平安、在每一個(gè)虛擬機(jī)上運(yùn)轉(zhuǎn)反病毒軟件、確保落實(shí)補(bǔ)丁管理，這些措施使得虛擬機(jī)具有同樣的平安流程。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患三、應(yīng)用平安工具

　　能否需求一套全新的平安和管理工具來維護(hù)虛擬化環(huán)境?不需求!

　　明智之舉就是，從維護(hù)物理效勞器和網(wǎng)絡(luò)環(huán)境的一套現(xiàn)有平安工具動(dòng)手，然后運(yùn)用到虛擬環(huán)境。但一定要理解廠商是如何跟蹤虛擬化風(fēng)險(xiǎn)、未來如何與其他產(chǎn)品停止集成的。

　　IDC的Elliott說：“維護(hù)物理環(huán)境的工具用于維護(hù)虛擬化環(huán)境是一種虛假的平安感。”同時(shí)他又說：“對(duì)虛擬化環(huán)境的新型平安工具而言，目前處于市場(chǎng)的早期階段。這意味著必需對(duì)傳統(tǒng)廠商以及潛在的新興廠商施加壓力。”

　　別以為平臺(tái)層面的工具(如VMware的工具)足夠好。要看一看新興公司和傳統(tǒng)管理廠商。對(duì)那些傳統(tǒng)廠商施加壓力，請(qǐng)求他們做更多的工作，并為他們提供指導(dǎo)。

　　馬自達(dá)北美公司的CIO—JimDiMarzio就在他的企業(yè)中采用了這項(xiàng)戰(zhàn)略。與ArchCoal一樣，馬自達(dá)北美公司也在虛擬效勞器的中心處運(yùn)轉(zhuǎn)VMware的ESXServer軟件，最近不斷在增加虛擬機(jī)的數(shù)量。DiMarzio說，到2008年3月會(huì)有150個(gè)虛擬機(jī)。

　　為了維護(hù)這些虛擬機(jī)的平安，DiMarzio決議繼續(xù)運(yùn)用現(xiàn)有的防火墻和平安產(chǎn)品，包括IBM的TivoliAccessManager、思科防火墻工具以及賽門鐵克的入侵檢測(cè)系統(tǒng)(IDS)監(jiān)控工具。

　　ArchCoal公司的Abbene及其團(tuán)隊(duì)也繼續(xù)運(yùn)用原有的平安工具，同時(shí)又在調(diào)查BlueLane和ReflexSecurity等新興公司的工具。Abbene說：“傳統(tǒng)平安廠商正在奮起直追，他們?cè)谶@方面落后于新興公司。”

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患四、采用嵌入式管理程序

　　效勞器上的虛擬機(jī)管理程序?qū)映淙翁摂M機(jī)的根底。VMware近期宣布推出的ESXServer3i虛擬機(jī)管理程序的共同之處在于不包括通用操作系統(tǒng)。出于平安上的思索，它采用了精簡設(shè)計(jì)，只占用32MB空間。

　　像戴爾和惠普這些硬件廠商表示，它們會(huì)在物理效勞器上托付像VMware這種虛擬機(jī)管理程序的嵌入式版本。根本上，嵌入式虛擬機(jī)管理程序由于比擬小，所以比擬平安。

　　專家以為，嵌入式虛擬機(jī)管理程序是未來的一大趨向。不但從未涉足過這個(gè)范疇的一些公司會(huì)提供嵌入式虛擬機(jī)管理程序，大多數(shù)效勞器廠商也會(huì)提供。BIOS軟件范疇的市場(chǎng)指導(dǎo)廠商PhoenixTechnologies近期宣布:進(jìn)入虛擬機(jī)管理程序范疇，首先會(huì)推知名為HyperCore的產(chǎn)品，即面向桌面和筆記本電腦的虛擬機(jī)管理程序。用戶開機(jī)后，能夠運(yùn)用網(wǎng)絡(luò)閱讀器和電子郵件等客戶軟件，無須等候啟動(dòng)Windows(HyperCore將被嵌入到電腦的BIOS中)。

　　虛擬機(jī)管理程序市場(chǎng)的競(jìng)爭和創(chuàng)新對(duì)企業(yè)來說是好事。最終可能呈現(xiàn)的結(jié)果是，許多公司會(huì)競(jìng)相提供最精簡、最智能的虛擬機(jī)管理程序軟件。Hoff說：“無論是Phoenix還是其他廠商，會(huì)呈現(xiàn)備受關(guān)注的競(jìng)爭，這些虛擬機(jī)管理程序都希望成為下一個(gè)優(yōu)秀的操作系統(tǒng)。”

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患五、限制訪問虛擬機(jī)權(quán)限

　　假如賦予了訪問虛擬機(jī)的管理員級(jí)別權(quán)限，也就是賦予了訪問該虛擬機(jī)上一切數(shù)據(jù)的權(quán)限。伯頓集團(tuán)的Wolf倡議，要謹(jǐn)慎思索員工需求哪種賬戶和訪問權(quán)限。更復(fù)雜的問題是，有些第三方廠商針對(duì)虛擬機(jī)的存儲(chǔ)和備份平安的倡議是過時(shí)的。Wolf又說：“有些廠商以至自身就沒有恪守VMware針對(duì)VMwareConsolidatedBackup的最佳理論。”

　　ArchCoal的信息平安管理員PaulTelle說，總體而言，公司特別留意限制訪問虛擬機(jī)的管理員權(quán)限。他指出，公司里只要一小局部人才具有這樣的權(quán)限。

　　應(yīng)用開發(fā)人員應(yīng)該只要最小的訪問權(quán)限。“我們的應(yīng)用開發(fā)人員能夠訪問共享區(qū)域，這是最小的訪問權(quán)限。他們無法訪問操作系統(tǒng)。”他說，這有助于控制虛擬機(jī)數(shù)量激增，同時(shí)加強(qiáng)了平安性。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患六、留意存儲(chǔ)資源

　　有些企業(yè)在SAN上提供過多的存儲(chǔ)資源，這就可能錯(cuò)誤地讓虛擬機(jī)的共享區(qū)域成為SAN的一局部。

　　假如運(yùn)用VMware挪動(dòng)虛擬機(jī)的工具VMotion，會(huì)在SAN上分配一些分區(qū)存儲(chǔ)資源。但還要細(xì)化存儲(chǔ)資源的分配，就像在物理環(huán)境下那樣。瞻望將來，N-portID虛擬化技術(shù)是一個(gè)選擇，這項(xiàng)技術(shù)能夠只為一個(gè)虛擬機(jī)分配存儲(chǔ)資源。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患七、隔離網(wǎng)段

　　企業(yè)走上虛擬化道路，不該無視與平安有關(guān)的網(wǎng)絡(luò)流量風(fēng)險(xiǎn)。但其中一些風(fēng)險(xiǎn)很容易被無視，假如在停止虛擬化規(guī)劃時(shí)沒有網(wǎng)絡(luò)和平安人員參與，更是如此。Wolf說：“許多企業(yè)只是把性能作為兼并效勞器的度量規(guī)范。”

　　舉例說，有些CIO絕對(duì)不允許任何虛擬效勞器呈現(xiàn)在“非軍事區(qū)(DMZ)”。(DMZ是寄存外部效勞到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)，就像電子商務(wù)效勞器一樣，它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))。

　　Wolf說，要是DMZ里面果真有幾個(gè)虛擬機(jī)，就要放在與一局部舊系統(tǒng)(如關(guān)鍵的Oracle數(shù)據(jù)庫效勞器)分開在的獨(dú)立網(wǎng)段上。

　　Abbene說，在ArchCoal公司，IT團(tuán)隊(duì)一開端就思索到了DMZ。他們把虛擬效勞器部署在內(nèi)部局域網(wǎng)上，不面向公眾。Abbene說：“這是一個(gè)關(guān)鍵的決議。”舉例說，公司在DMZ里面有幾臺(tái)平安的FTP效勞器以及幾臺(tái)從事簡單電子商務(wù)的效勞器，公司不打算把虛擬機(jī)部署到里面。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患八、留意交流機(jī)

　　什么時(shí)分交流機(jī)不是交流機(jī)?Wolf說：“有些虛擬交流機(jī)的工作方式相似集線器，每個(gè)端口鏡像到虛擬交流機(jī)上的一切其他端口。”特別是往常的微軟VirtualServer帶來了這個(gè)問題。VMware的ESXSserver不會(huì)，思杰的XenServer也不會(huì)。他說：“人們一聽到‘交流機(jī)’，就以為有隔離機(jī)制。這其實(shí)視廠商而定。”

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患九、監(jiān)控“非法”虛擬機(jī)

　　要擔(dān)憂的不只僅是效勞器。Wolf說：“最大的要挾在客戶端上—非法虛擬機(jī)(rogueVM)。”那么，什么是非法虛擬機(jī)?用戶可以下載及運(yùn)用VMwarePlayer這樣的免費(fèi)程序，會(huì)讓桌面和筆記本電腦用戶能夠運(yùn)轉(zhuǎn)由VMwareWorkstation、Server或者ESXServer創(chuàng)立的任何虛擬機(jī)。

　　往常許多用戶喜歡在桌面或者筆記本電腦上運(yùn)用虛擬機(jī)分開各局部工作，或者分開公事與私事。有些人運(yùn)用VMwarePlayer在一個(gè)機(jī)器上運(yùn)轉(zhuǎn)多個(gè)操作系統(tǒng)。比方運(yùn)用Linux作為根本操作系統(tǒng)，卻創(chuàng)立一個(gè)虛擬機(jī)來運(yùn)轉(zhuǎn)Windows應(yīng)用。

　　Wolf說：“這些虛擬機(jī)以至沒有打上相應(yīng)的補(bǔ)丁。那些系統(tǒng)暴露在網(wǎng)絡(luò)上因此一切未加管理的操作系統(tǒng)易受攻擊。”

　　這會(huì)添加很多風(fēng)險(xiǎn)：運(yùn)轉(zhuǎn)非法虛擬機(jī)的機(jī)器可能會(huì)傳播病毒。更糟糕的是，可能還會(huì)傳播到物理網(wǎng)絡(luò)上。舉例說，有些人就很容易加載DHCP效勞器以便分配虛假IP地址。這實(shí)踐上就是一種回絕效勞攻擊。至少，會(huì)把IT資源糜費(fèi)在查明問題上。以至有可能是簡單的用戶錯(cuò)誤，也會(huì)給網(wǎng)絡(luò)帶來不用要的擔(dān)負(fù)。

　　那么如何防備非法虛擬機(jī)呢?首先應(yīng)當(dāng)加以控制，規(guī)則誰能夠取得VMwareWorkstation(由于創(chuàng)立虛擬機(jī)需求它)。IT部門還能夠運(yùn)用群組平安戰(zhàn)略來避免某些可執(zhí)行程序運(yùn)轉(zhuǎn)，比方裝置VMPlayer所需的可執(zhí)行程序。另一個(gè)選擇是，定期檢查用戶的硬驅(qū)。需求找出裝有虛擬機(jī)的機(jī)器，然后標(biāo)志出來，以便IT部門采取恰當(dāng)行動(dòng)。

　　這是不是已成了用戶和IT部門之間的另一個(gè)爭論點(diǎn)—通曉技術(shù)的用戶需求在公司能像在家里那樣運(yùn)用虛擬機(jī)?Wolf說還沒有。他說：“大局部IT部門對(duì)此置之不理。”

　　假如允許用戶在電腦上運(yùn)轉(zhuǎn)虛擬機(jī)，VMware的LabManager及其他管理工具能夠協(xié)助IT部門控制及監(jiān)管這些虛擬機(jī)。

　　十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化平安隱患十、做好虛擬化平安預(yù)算

　　IDC的Elliott說：“確保分配好虛擬化平安和管理方面的預(yù)算。”ArchCoal公司的Abbene指出，可能不需求在平安預(yù)算中為虛擬化平安單列預(yù)算，但全部平安預(yù)算最好為它留出足夠多的資金。

　　另外，在預(yù)算虛擬化的投資報(bào)答時(shí)要留意平安本錢。Hoff指出，對(duì)越來越多的效勞器停止虛擬化處置，并不會(huì)使平安開支有所降低，由于需求運(yùn)用現(xiàn)有的平安工具來管理每個(gè)虛擬機(jī)。假如沒有意料到這筆開支，可能會(huì)減少投資報(bào)答。

　　據(jù)Gartner宣稱，這是目前常犯的一個(gè)錯(cuò)誤。據(jù)Gartner的副總裁NeilMacDonald宣稱，2009年，部署的虛擬化技術(shù)大約有90%面臨未意料到的本錢，比方平安本錢等，這會(huì)影響投資報(bào)答。