虛拟效勞器(qì)是有(yǒu)很(hěn)多(duō)益處，但(dàn)它的平安問題完整暴露了嗎?如何确保平安性?能夠采用下面十個(gè)積極步驟。

　　去年，數(shù)據中心虛拟化方面的嚴重問題還(hái)是“該技(jì)術(shù)可(kě)儉省幾資金和(hé)時(shí)間(jiān)?”而到今年，這個(gè)問題将變成“采用該技(jì)術(shù)，我們會(huì)有(yǒu)多(duō)平安?”這是一個(gè)極難答(dá)複的問題。

　　一大(dà)批拼命采購虛拟化産品和(hé)效勞的廠商、參謀在風險及如何防備風險方面存在相左的觀念。同時(shí)，一些(xiē)平安研討(tǎo)人(rén)員也在大(dà)肆宣傳理(lǐ)論上(shàng)存在的風險，比方可(kě)能會(huì)呈現的歹意軟件。市場(chǎng)研討(tǎo)公司伯頓集團的高(gāo)級剖析師(shī)ChrisWolf說:“如今虛拟化方面的動靜很(hěn)大(dà)，讓人(rén)暈頭轉向。”

　　許多(duō)IT部門(mén)表示，在去年開(kāi)端創立成千上(shàng)萬個(gè)新的虛拟機時(shí)，他們以為(wèi)運轉速度比其他要素(如平安規劃)更重要。IDC公司擔任企業系統管理(lǐ)軟件的研討(tǎo)主任StephenElliott說:“平安是虛拟化擴建過程中被遺忘的一個(gè)角落。要是想想如今虛拟機的數(shù)量，的确挺讓人(rén)擔憂。”據IDC宣稱，往常，員工總數(shù)不少(shǎo)于1000人(rén)的公司當中有(yǒu)75%在運用虛拟化技(jì)術(shù)。

　　Gartner公司的副總裁NeilMacDonald在去年10月舉行(xíng)的Symposium/ITxpo大(dà)會(huì)上(shàng)預測，到2009年，60%的消費虛拟機平安性将不如物理(lǐ)效勞器(qì)。

　　平安專家(jiā)ChrisHoff以為(wèi)，到目前為(wèi)止，盤繞虛拟化平安的討(tǎo)論大(dà)局部都是片面的。他是優利系統公司平安創新部門(mén)的首席架構師(shī)。其實應該這麽思索:“曾經把曉得(de)的平安學問運用到了虛拟化環境中嗎?我們應當确保構建的虛拟網絡要與構建的物理(lǐ)網絡一樣牢靠、平安。”

　　某些(xiē)IT部門(mén)正在犯一個(gè)基本的錯誤：他們讓效勞器(qì)部門(mén)單槍匹馬地展開(kāi)虛拟化項目，沒有(yǒu)讓IT團隊的平安、存儲和(hé)網絡專家(jiā)參與進來(lái)。這會(huì)給虛拟化技(jì)術(shù)帶來(lái)內(nèi)在的平安問題缺陷。

　　伯頓集團的Wolf說：“虛拟化絕大(dà)局部靠規劃，而規劃必需讓全部團隊參與進來(lái)，包括網絡、平安和(hé)存儲等團隊。”而事實上(shàng)，大(dà)多(duō)數(shù)IT團隊在疾速推進虛拟化的項目，平安方面的工作(zuò)跟不上(shàng)。假如錯失了與一切專家(jiā)一同規劃的大(dà)好時(shí)機，那(nà)該怎樣辦呢?Wolf說：“平安方面想躊躇不前，無妨從認真檢查虛拟根底設備動手，這要借助工具或者參謀。”

　　下面是企業為(wèi)了增強虛拟機平安能夠采取的十個(gè)積極步驟：

　　十步監控預防數(shù)據中心虛拟化平安隐患一、控制(zhì)虛拟機的數(shù)量

　　創立虛拟機隻需短(duǎn)短(duǎn)幾分鍾，但(dàn)虛拟機數(shù)量越多(duō)，面臨的平安風險也越大(dà)，所以，最好可(kě)以跟蹤一切的虛拟機。

　　ArchCoal公司擔任IT的CIOMichaelAbbene說：“我們先對很(hěn)不重要的測試和(hé)開(kāi)發設備停止了虛拟化處置，然後轉向一些(xiē)不太重要的應用效勞器(qì)。由于不斷很(hěn)勝利，所以我們把目的放在比拟重要的效勞器(qì)上(shàng)，但(dàn)這麽做(zuò)會(huì)加大(dà)風險系數(shù)。”該公司目前大(dà)約有(yǒu)45個(gè)虛拟機，包括活動目錄效勞器(qì)以及幾台應用效勞器(qì)和(hé)Web效勞器(qì)。

　　那(nà)麽，如何控制(zhì)效勞器(qì)數(shù)量激增?一個(gè)辦法是:創立虛拟效勞器(qì)要像創立物理(lǐ)效勞器(qì)一樣嚴厲。在ArchCoal公司，IT團隊對創立新虛拟機的審批很(hěn)嚴。“無論是物理(lǐ)效勞器(qì)還(hái)是虛拟效勞器(qì)，都要經過同樣的流程才幹取得(de)批準。”ArchCoal的微軟系統管理(lǐ)員TomCarter說。

　　為(wèi)此，ArchCoal的IT部門(mén)經過一個(gè)委員會(huì)(由效勞器(qì)和(hé)存儲等不同部門(mén)的IT員工組成，完成輪崗制(zhì))批準或者否決申請(qǐng)。這意味着應用開(kāi)發部門(mén)的人(rén)員基本無法擅自構建VMware效勞器(qì)，不過他允許開(kāi)發人(rén)員提出請(qǐng)求。

　　專家(jiā)以為(wèi)，虛拟機數(shù)量激增是一大(dà)問題，會(huì)招緻管理(lǐ)、維護性能及配置供給的才能呈現滞後。“另外，假如虛拟機的數(shù)量超出了控制(zhì)範圍，就會(huì)呈現預料不到的管理(lǐ)本錢(qián)。”TomCarter說。

　　十步監控預防數(shù)據中心虛拟化平安隐患二、運轉更多(duō)流程

　　虛拟化技(jì)術(shù)最吸收人(rén)的或許在于速度：隻需幾分鍾就能創立虛拟機，能夠輕松挪動，隻需求一天而不是幾周即可(kě)提供新的計(jì)算(suàn)功用。但(dàn)IDC的Elliott以為(wèi)，放慢節拍，認真思索虛拟化成為(wèi)現有(yǒu)IT流程的一局部，就可(kě)以從基本上(shàng)預防平安問題。

　　Elliott說：“流程至關重要。思索虛拟化時(shí)不隻要站(zhàn)在技(jì)術(shù)的角度，還(hái)要站(zhàn)在流程的角度。”舉例說，假如運用ITIL來(lái)指導IT流程，就要思索虛拟化能否合适流程框架。假如運用其他IT最佳理(lǐ)論，也要思索虛拟化的順應性。

　　Hoff舉例說：“假如要增強效勞器(qì)平安，就應當對虛拟效勞器(qì)采取與物理(lǐ)效勞器(qì)同樣的一套做(zuò)法。”

　　在ArchCoal公司，Abbene的IT團隊就是這麽做(zuò)的。Abbene說：“我們确保物理(lǐ)效勞器(qì)平安的最佳理(lǐ)論運用到了每一個(gè)虛拟機上(shàng)。”增強操作(zuò)系統平安、在每一個(gè)虛拟機上(shàng)運轉反病毒軟件、确保落實補丁管理(lǐ)，這些(xiē)措施使得(de)虛拟機具有(yǒu)同樣的平安流程。

　　十步監控預防數(shù)據中心虛拟化平安隐患三、應用平安工具

　　能否需求一套全新的平安和(hé)管理(lǐ)工具來(lái)維護虛拟化環境?不需求!

　　明(míng)智之舉就是，從維護物理(lǐ)效勞器(qì)和(hé)網絡環境的一套現有(yǒu)平安工具動手，然後運用到虛拟環境。但(dàn)一定要理(lǐ)解廠商是如何跟蹤虛拟化風險、未來(lái)如何與其他産品停止集成的。

　　IDC的Elliott說：“維護物理(lǐ)環境的工具用于維護虛拟化環境是一種虛假的平安感。”同時(shí)他又說：“對虛拟化環境的新型平安工具而言，目前處于市場(chǎng)的早期階段。這意味着必需對傳統廠商以及潛在的新興廠商施加壓力。”

　　别以為(wèi)平台層面的工具(如VMware的工具)足夠好。要看一看新興公司和(hé)傳統管理(lǐ)廠商。對那(nà)些(xiē)傳統廠商施加壓力，請(qǐng)求他們做(zuò)更多(duō)的工作(zuò)，并為(wèi)他們提供指導。

　　馬自達北美公司的CIO—JimDiMarzio就在他的企業中采用了這項戰略。與ArchCoal一樣，馬自達北美公司也在虛拟效勞器(qì)的中心處運轉VMware的ESXServer軟件，最近不斷在增加虛拟機的數(shù)量。DiMarzio說，到2008年3月會(huì)有(yǒu)150個(gè)虛拟機。

　　為(wèi)了維護這些(xiē)虛拟機的平安，DiMarzio決議繼續運用現有(yǒu)的防火(huǒ)牆和(hé)平安産品，包括IBM的TivoliAccessManager、思科防火(huǒ)牆工具以及賽門(mén)鐵(tiě)克的入侵檢測系統(IDS)監控工具。

　　ArchCoal公司的Abbene及其團隊也繼續運用原有(yǒu)的平安工具，同時(shí)又在調查BlueLane和(hé)ReflexSecurity等新興公司的工具。Abbene說：“傳統平安廠商正在奮起直追，他們在這方面落後于新興公司。”

　　十步監控預防數(shù)據中心虛拟化平安隐患四、采用嵌入式管理(lǐ)程序

　　效勞器(qì)上(shàng)的虛拟機管理(lǐ)程序層充任虛拟機的根底。VMware近期宣布推出的ESXServer3i虛拟機管理(lǐ)程序的共同之處在于不包括通(tōng)用操作(zuò)系統。出于平安上(shàng)的思索，它采用了精簡設計(jì)，隻占用32MB空(kōng)間(jiān)。

　　像戴爾和(hé)惠普這些(xiē)硬件廠商表示，它們會(huì)在物理(lǐ)效勞器(qì)上(shàng)托付像VMware這種虛拟機管理(lǐ)程序的嵌入式版本。根本上(shàng)，嵌入式虛拟機管理(lǐ)程序由于比拟小(xiǎo)，所以比拟平安。

　　專家(jiā)以為(wèi)，嵌入式虛拟機管理(lǐ)程序是未來(lái)的一大(dà)趨向。不但(dàn)從未涉足過這個(gè)範疇的一些(xiē)公司會(huì)提供嵌入式虛拟機管理(lǐ)程序，大(dà)多(duō)數(shù)效勞器(qì)廠商也會(huì)提供。BIOS軟件範疇的市場(chǎng)指導廠商PhoenixTechnologies近期宣布:進入虛拟機管理(lǐ)程序範疇，首先會(huì)推知名為(wèi)HyperCore的産品，即面向桌面和(hé)筆記本電(diàn)腦(nǎo)的虛拟機管理(lǐ)程序。用戶開(kāi)機後，能夠運用網絡閱讀器(qì)和(hé)電(diàn)子郵件等客戶軟件，無須等候啓動Windows(HyperCore将被嵌入到電(diàn)腦(nǎo)的BIOS中)。

　　虛拟機管理(lǐ)程序市場(chǎng)的競争和(hé)創新對企業來(lái)說是好事。最終可(kě)能呈現的結果是，許多(duō)公司會(huì)競相提供最精簡、最智能的虛拟機管理(lǐ)程序軟件。Hoff說：“無論是Phoenix還(hái)是其他廠商，會(huì)呈現備受關注的競争，這些(xiē)虛拟機管理(lǐ)程序都希望成為(wèi)下一個(gè)優秀的操作(zuò)系統。”

　　十步監控預防數(shù)據中心虛拟化平安隐患五、限制(zhì)訪問虛拟機權限

　　假如賦予了訪問虛拟機的管理(lǐ)員級别權限，也就是賦予了訪問該虛拟機上(shàng)一切數(shù)據的權限。伯頓集團的Wolf倡議，要謹慎思索員工需求哪種賬戶和(hé)訪問權限。更複雜的問題是，有(yǒu)些(xiē)第三方廠商針對虛拟機的存儲和(hé)備份平安的倡議是過時(shí)的。Wolf又說：“有(yǒu)些(xiē)廠商以至自身就沒有(yǒu)恪守VMware針對VMwareConsolidatedBackup的最佳理(lǐ)論。”

　　ArchCoal的信息平安管理(lǐ)員PaulTelle說，總體(tǐ)而言，公司特别留意限制(zhì)訪問虛拟機的管理(lǐ)員權限。他指出，公司裏隻要一小(xiǎo)局部人(rén)才具有(yǒu)這樣的權限。

　　應用開(kāi)發人(rén)員應該隻要最小(xiǎo)的訪問權限。“我們的應用開(kāi)發人(rén)員能夠訪問共享區(qū)域，這是最小(xiǎo)的訪問權限。他們無法訪問操作(zuò)系統。”他說，這有(yǒu)助于控制(zhì)虛拟機數(shù)量激增，同時(shí)加強了平安性。

　　十步監控預防數(shù)據中心虛拟化平安隐患六、留意存儲資源

　　有(yǒu)些(xiē)企業在SAN上(shàng)提供過多(duō)的存儲資源，這就可(kě)能錯誤地讓虛拟機的共享區(qū)域成為(wèi)SAN的一局部。

　　假如運用VMware挪動虛拟機的工具VMotion，會(huì)在SAN上(shàng)分配一些(xiē)分區(qū)存儲資源。但(dàn)還(hái)要細化存儲資源的分配，就像在物理(lǐ)環境下那(nà)樣。瞻望将來(lái)，N-portID虛拟化技(jì)術(shù)是一個(gè)選擇，這項技(jì)術(shù)能夠隻為(wèi)一個(gè)虛拟機分配存儲資源。

　　十步監控預防數(shù)據中心虛拟化平安隐患七、隔離網段

　　企業走上(shàng)虛拟化道(dào)路，不該無視(shì)與平安有(yǒu)關的網絡流量風險。但(dàn)其中一些(xiē)風險很(hěn)容易被無視(shì)，假如在停止虛拟化規劃時(shí)沒有(yǒu)網絡和(hé)平安人(rén)員參與，更是如此。Wolf說：“許多(duō)企業隻是把性能作(zuò)為(wèi)兼并效勞器(qì)的度量規範。”

　　舉例說，有(yǒu)些(xiē)CIO絕對不允許任何虛拟效勞器(qì)呈現在“非軍事區(qū)(DMZ)”。(DMZ是寄存外部效勞到互聯網的子網絡，就像電(diàn)子商務效勞器(qì)一樣，它在互聯網和(hé)局域網之間(jiān)增加了緩沖區(qū))。

　　Wolf說，要是DMZ裏面果真有(yǒu)幾個(gè)虛拟機，就要放在與一局部舊(jiù)系統(如關鍵的Oracle數(shù)據庫效勞器(qì))分開(kāi)在的獨立網段上(shàng)。

　　Abbene說，在ArchCoal公司，IT團隊一開(kāi)端就思索到了DMZ。他們把虛拟效勞器(qì)部署在內(nèi)部局域網上(shàng)，不面向公衆。Abbene說：“這是一個(gè)關鍵的決議。”舉例說，公司在DMZ裏面有(yǒu)幾台平安的FTP效勞器(qì)以及幾台從事簡單電(diàn)子商務的效勞器(qì)，公司不打算(suàn)把虛拟機部署到裏面。

　　十步監控預防數(shù)據中心虛拟化平安隐患八、留意交流機

　　什麽時(shí)分交流機不是交流機?Wolf說：“有(yǒu)些(xiē)虛拟交流機的工作(zuò)方式相似集線器(qì)，每個(gè)端口鏡像到虛拟交流機上(shàng)的一切其他端口。”特别是往常的微軟VirtualServer帶來(lái)了這個(gè)問題。VMware的ESXSserver不會(huì)，思傑的XenServer也不會(huì)。他說：“人(rén)們一聽(tīng)到‘交流機’，就以為(wèi)有(yǒu)隔離機制(zhì)。這其實視(shì)廠商而定。”

　　十步監控預防數(shù)據中心虛拟化平安隐患九、監控“非法”虛拟機

　　要擔憂的不隻僅是效勞器(qì)。Wolf說：“最大(dà)的要挾在客戶端上(shàng)—非法虛拟機(rogueVM)。”那(nà)麽，什麽是非法虛拟機?用戶可(kě)以下載及運用VMwarePlayer這樣的免費程序，會(huì)讓桌面和(hé)筆記本電(diàn)腦(nǎo)用戶能夠運轉由VMwareWorkstation、Server或者ESXServer創立的任何虛拟機。

　　往常許多(duō)用戶喜歡在桌面或者筆記本電(diàn)腦(nǎo)上(shàng)運用虛拟機分開(kāi)各局部工作(zuò)，或者分開(kāi)公事與私事。有(yǒu)些(xiē)人(rén)運用VMwarePlayer在一個(gè)機器(qì)上(shàng)運轉多(duō)個(gè)操作(zuò)系統。比方運用Linux作(zuò)為(wèi)根本操作(zuò)系統，卻創立一個(gè)虛拟機來(lái)運轉Windows應用。

　　Wolf說：“這些(xiē)虛拟機以至沒有(yǒu)打上(shàng)相應的補丁。那(nà)些(xiē)系統暴露在網絡上(shàng)因此一切未加管理(lǐ)的操作(zuò)系統易受攻擊。”

　　這會(huì)添加很(hěn)多(duō)風險：運轉非法虛拟機的機器(qì)可(kě)能會(huì)傳播病毒。更糟糕的是，可(kě)能還(hái)會(huì)傳播到物理(lǐ)網絡上(shàng)。舉例說，有(yǒu)些(xiē)人(rén)就很(hěn)容易加載DHCP效勞器(qì)以便分配虛假IP地址。這實踐上(shàng)就是一種回絕效勞攻擊。至少(shǎo)，會(huì)把IT資源糜費在查明(míng)問題上(shàng)。以至有(yǒu)可(kě)能是簡單的用戶錯誤，也會(huì)給網絡帶來(lái)不用要的擔負。

　　那(nà)麽如何防備非法虛拟機呢?首先應當加以控制(zhì)，規則誰能夠取得(de)VMwareWorkstation(由于創立虛拟機需求它)。IT部門(mén)還(hái)能夠運用群組平安戰略來(lái)避免某些(xiē)可(kě)執行(xíng)程序運轉，比方裝置VMPlayer所需的可(kě)執行(xíng)程序。另一個(gè)選擇是，定期檢查用戶的硬驅。需求找出裝有(yǒu)虛拟機的機器(qì)，然後标志(zhì)出來(lái)，以便IT部門(mén)采取恰當行(xíng)動。

　　這是不是已成了用戶和(hé)IT部門(mén)之間(jiān)的另一個(gè)争論點—通(tōng)曉技(jì)術(shù)的用戶需求在公司能像在家(jiā)裏那(nà)樣運用虛拟機?Wolf說還(hái)沒有(yǒu)。他說：“大(dà)局部IT部門(mén)對此置之不理(lǐ)。”

　　假如允許用戶在電(diàn)腦(nǎo)上(shàng)運轉虛拟機，VMware的LabManager及其他管理(lǐ)工具能夠協助IT部門(mén)控制(zhì)及監管這些(xiē)虛拟機。

　　十步監控預防數(shù)據中心虛拟化平安隐患十、做(zuò)好虛拟化平安預算(suàn)

　　IDC的Elliott說：“确保分配好虛拟化平安和(hé)管理(lǐ)方面的預算(suàn)。”ArchCoal公司的Abbene指出，可(kě)能不需求在平安預算(suàn)中為(wèi)虛拟化平安單列預算(suàn)，但(dàn)全部平安預算(suàn)最好為(wèi)它留出足夠多(duō)的資金。

　　另外，在預算(suàn)虛拟化的投資報答(dá)時(shí)要留意平安本錢(qián)。Hoff指出，對越來(lái)越多(duō)的效勞器(qì)停止虛拟化處置，并不會(huì)使平安開(kāi)支有(yǒu)所降低(dī)，由于需求運用現有(yǒu)的平安工具來(lái)管理(lǐ)每個(gè)虛拟機。假如沒有(yǒu)意料到這筆開(kāi)支，可(kě)能會(huì)減少(shǎo)投資報答(dá)。

　　據Gartner宣稱，這是目前常犯的一個(gè)錯誤。據Gartner的副總裁NeilMacDonald宣稱，2009年，部署的虛拟化技(jì)術(shù)大(dà)約有(yǒu)90%面臨未意料到的本錢(qián)，比方平安本錢(qián)等，這會(huì)影(yǐng)響投資報答(dá)。