2007年,数据中心对虚拟化最大的问题是“多少钱和时间将这个救我们呢?”2020欧洲杯预赛2008年,最大的问题将是“我们有多安全?”
这是一个非常棘手的问题来回答。供应商和顾问试图出售安全产品和服务的转换已经发生冲突有关的风险和如何防止他们的意见。同时,一些安全研究人员正在大肆宣传理论上的风险,比如恶意软件的可能出现的针对虚拟机管理程序(即尚未出现在真实世界的威胁)。“有大量的噪音,在那里虚拟化,”市场研究公司的高级分析师Chris Wolf说伯顿集团。“它可以分散注意力。”
许多IT组织在2007年开始创建数百个新的虚拟机时表示,他们将操作速度置于大多数其他因素之上,包括安全规划,这一事实为这种炒作火上浇油。(考虑到大多数企业一开始都在测试和应用程序开发箱上使用虚拟化技术,而不是在运行核心业务应用程序的服务器上,这并不奇怪。)
“我们发现的安全是虚拟化打造出来的遗忘的继子女,”斯蒂芬·埃利奥特,IDC的企业系统管理软件研究总监说。“当你想到的生产级别的虚拟机数量那是可怕的。”根据IDC的统计,公司拥有1000名以上员工的75%正在采用虚拟化的今天。
至2009年,生产虚拟机的60%,将超过其对应的物理安全性较低,Gartner的副总裁麦克唐纳在Gartner的2007年10月研讨会/ ITxpo演示预测。
但是,很多关于虚拟化安全的讨论已经有缺陷至今说,安全专家克里斯·霍夫,因为人们经常问的虚拟服务器是否比物理的人或多或少的安全框架的讨论。
这就是错误的问题说,霍夫,谁博客经常讨论这个话题,并担任安全创新的首席架构师Unisys公司。他说,正确的问题是“您是否将您已经知道的关于安全性的知识应用到您的虚拟化环境中了?”
“人们对理论很感兴趣……而在现实中,你今天可以做的事情很明确。”霍夫说。当然,虚拟化确实带来了一些新的安全问题,但首先,他说:“我们必须务实。让我们确保在构建物理网络的同时也构建虚拟网络。”
作为一个例子,他指出了一个虚拟化管理工具,如VMware的VMotion,它有助于在机器出现故障时移动虚拟机,但它也允许具有管理员权限的人将两个虚拟机组合在一起,在物理世界中,由于安全原因,这两个虚拟机在网络流量方面应该被小心地分开。
一些IT组织现在正在犯一个根本的错误:他们让服务器组几乎单独地运行虚拟化工作——把IT团队的安全、存储和网络专家排除在外。这可能会产生与虚拟化技术或产品的固有弱点无关的安全问题。霍夫说:“这是一个让团队聚在一起的绝佳机会。”
“虚拟化是90%的规划,” Burton集团的Wolf说。“规划必须包括整个团队,包括网络,安全和存储团队。”
但事实是,大多数IT团队在虚拟化方面运行得很快,现在必须迎头赶上。如果您错过了与所有专家一起进行计划的机会,并且随着vm数量的增加以及在这些vm上放置更重要的应用程序,您开始更加担心会发生什么呢?
Wolf说:“要赶上进度,首先要对你的虚拟基础设施进行良好的审计。”“那你就真的得倒着做了。”(Wolf建议检查审计工具CiRBA和PlateSpin以此目的。)
下面是现在企业可以采取收紧虚拟化安全10个积极步骤:
1.获取VM在控制蔓延
首席信息官,比如Michael Abbene拱煤,了解虚拟机蔓延满井的问题:虚拟机需要时间来创建。他们是伟大的隔离某些计算任务。但是,虚拟机越多,越安全风险你。你最好能够跟踪所有这些虚拟机的。
“我们开始通过虚拟化非常低调的测试和开发盒子”,Abbene说。“然后,我们有些感动低调的应用服务器。我们已经动了起来,因为我们已经成功了。我们知道我们正在增加我们的风险,因为我们做到这一点。”公司目前拥有约45个生产虚拟机,他指出,包括Active Directory服务器和某些应用程序和Web服务器。
你如何控制服务器蔓延?一种方法:使创建虚拟化服务器和虚拟机作为纪律作为创建物理的。拱煤炭,IT团队严谨关于允许新虚拟机:“人们必须要经过同样的过程得到了一个服务器,无论是物理的还是虚拟,”汤姆·卡特,拱煤的说微软系统管理员,为Abbene工作。
为此,拱煤IT使用变更控制委员会(从学科类似器服务器和存储IT人员的横截面组成,服务轮流)说yes或no,以新的虚拟服务器的请求。这意味着,例如,人们在应用程序组中不能只是建立一个VMware的服务器,并开始创建VM,Abbene说,虽然他有开发商问来做到这一点。
VMware的VirtualCenter管理工具以及来自Vizioncore公司也可以帮助管理VM扩展。
忽略虚拟机蔓延在你自己的危险IDC的埃利奥特说,:“虚拟机蔓延是一个巨大的问题,在管理,维护性能和提供的能力,导致滞后时间,”他说。此外,意想不到的管理成本会出现,如果你的虚拟机数量得到手了,他补充道。
2.将您的现有流程的虚拟机
也许是虚拟化的最性感的方面是它的速度:您可以在几分钟内创建虚拟机,很容易左右移动它们,并在一天而不是几周提供新的计算能力,在业务方面。它的乐趣,开快车。IDC的埃利奥特说,但放慢足够长的时间去思考让您的现有IT流程的虚拟化的一部分,你会避免在首位的安全问题。您也将在以后节省一些管理难题。
“过程是非常重要的,”他说。“想想不只是从技术的角度来看,但是从过程中的一个虚拟化。”如果您在使用ITIL例如,要指导您的IT流程,请考虑虚拟化如何适应流程框架,Elliott建议。如果您正在使用其他IT最佳实践,请查看虚拟化如何适应这些流程。
举个例子:“如果你有一个服务器加强文档(为新服务器规定一套标准的安全和设置规则),”Hoff说,“你应该对一个虚拟服务器做与物理服务器相同的事情。”
拱煤,Abbene的IT团队做到了这一点:“我们把我们的最佳实践为确保物理服务器和应用的每一个虚拟机上盒,” Abbene说。像硬化OS,在每个虚拟机上运行的防病毒,确保补丁管理,保持步这些虚拟盒与物理的人使用相同的程序调,他说。
3.启动与您现有的安全工具,但很关键
您是否需要一套全新的安全和管理工具来支持您的虚拟化环境?不。霍夫说,从你现有的物理服务器和网络世界的安全工具集开始,并将它们应用到虚拟环境中是有意义的。足球竞猜app软件但是一定要敦促您的供应商告诉您他们是如何应对虚拟化风险的,以及未来他们将如何与其他产品集成。
“有安全相对于采用物理工具,虚拟环境中的错觉,” IDC的埃利奥特说。同时,他补充说:“这是在市场上非常早,”为设计时考虑到虚拟化的新的安全工具。也就是说,你必须按你的传统和潜在的启动厂商有点困难比平常。
“不要以为平台层面的工具(如VMware的工具)都配不上你,”埃利奥特说。“看看创业公司和传统管理厂商。按这些传统厂商做多,并为他们提供指导。”
吉姆一点:Dimarzio,首席信息官马自达北美,遵循他的企业这一战略。像拱门煤炭,马自达NA在其虚拟化服务器的核心运行VMware的ESX Server 3的软件最近已ramping它的虚拟机数量。一点:Dimarzio说,他预计到有关于使用虚拟服务器为Active Directory服务器,打印服务器,CRM应用服务器和Web由2008年3月,他的运行150个的生产虚拟机服务器,最后被一个任务关键型应用程序,因为马自达使用这些Web应用程序来服务信息向其所有经销商,说一点:Dimarzio。
为了确保这些虚拟机,决定一点:Dimarzio继续其现有的防火墙和安全产品,包括IBM的Tivoli Access Manager的,思科防火墙工具和赛门铁克的入侵检测系统监视工具。
拱煤,Abbene和他的团队与他们已经使用的安全工具粘,同时还从初创调查工具BlueLane和反射安全。Abbene说:“(传统)安全和变革供应商正努力追赶,但他们已经落后了。”
BlueLane的VirtualShield产品的VMware,例如,声称它可以保护虚拟机,即使在某些补丁是最新出来的情况下,以及自动扫描可能出现的问题,更新的问题领域,以及防止一些偏远的威胁。
反射的安全的虚拟安全设备(VSA),其霍夫现在与BlueLane软件作为为数不多的新兴产品值得关注的一个描述一起,基本上用于虚拟入侵检测系统(IDS),将安全策略的一个层的物理设备中,其中虚拟机直播。它可以帮助阻止虚拟机管理程序的攻击,其他可能的后患,Abbene的团队人物之一。
Abbene说,他的IT部门还讨论了添加第二个内部防火墙以进一步隔离虚拟机,但他担心有可能是在虚拟化应用程序的性能影响。
IDC的Elliott引用了其他一些值得研究的虚拟化安全工具:PlateSpin,已知的用于物理到虚拟工作量转换工具和工作负载管理工具;Vizioncore公司,已知的文件级备份工具;Akorri公司着称的绩效管理和负载平衡的工具;和存储公司EqualLogic的最近被收购戴尔为虚拟化优化的iSCSI存储区域网络(SAN)产品而闻名。
4.理解嵌入式虚拟机监控程序的价值
也许您已经了解了“嵌入式”虚拟机监控程序,但是如果您还没有了解,那么it领导应该理解这个术语。服务器上的管理程序层充当存放vm的基础。VMware最近发布的ESX Server 3i虚拟机监控程序,出于安全考虑设计得非常轻薄(32MB),唯一不包括通用操作系统。(没有操作系统意味着没有操作系统维护杂务。)
一些硬件供应商,例如戴尔和惠普日前表示,他们将船物理服务器上的VMware这种虚拟机管理程序的嵌入式版本。从本质上讲,一个嵌入式管理程序是安全的,因为它是更小的IDC的埃利奥特说。“较大的代码基础,较大的缺口的机会,”他说。“这将成为你的架构决策的一部分。
嵌入式虚拟机监控程序将是一个大趋势,Elliott说,你可以期待从大多数服务器供应商,以及一些以前没有涉足这一领域的公司看到它们。凤凰科技在BIOS软件领域的市场领导者,最近宣布,它进入管理程序的游戏,开始了一个名为HyperCore的产品:它是台式机和笔记本电脑,可以让用户打开机器,并使用一个基本的Web浏览器和系统管理程序电子邮件客户端无须等待启动Windows。(HyperCore的将被嵌入在机器BIOS)。
竞争和创新,在管理程序市场将是很好的企业,霍夫说。最终的结果可能是公司猛击提供最薄,最聪明的管理程序软件。
“无论是凤凰或其他人,有一个非常有趣的,这些虚拟机管理程序的战斗成为下一个伟大的操作系统,”霍夫说。
较小的攻击面不是嵌入式管理程序的唯一好处。凯Sookwongse,马自达对IT一点:Dimarzio系统经理,LAN /服务器说,马自达的IT部门期待着与VMware ESX Server的虚拟机管理程序的嵌入式即将推出的戴尔服务器。“的特点之一,我们在等待与戴尔的嵌入式ESX是所有VM图像可以在SAN上,” Sookwongse说。“当我们启动服务器,它可以从SAN上的图像启动。”这种集中管理和安全,同时也意味着如果它想,对于人身安全的担忧可能马自达没有磁盘顺序的服务器,他说。
5.不要过度分配权限到虚拟机