虛擬服務(wù)器是有很多好處，但它的安全問題完全暴露了嗎?如何確保安全性?可以采用下面十個(gè)積極步驟。　

去年，數(shù)據(jù)中心虛擬化方面的重大問題還是“該技術(shù)可節(jié)省多少資金和時(shí)間?”而到今年，這個(gè)問題將變成“采用該技術(shù)，我們會(huì)有多安全?”這是一個(gè)極難回答的問題。

一大批拼命推銷虛擬化產(chǎn)品和服務(wù)的廠商、顧問在風(fēng)險(xiǎn)及如何防范風(fēng)險(xiǎn)方面存在相左的觀點(diǎn)。同時(shí)，一些安全研究人員也在大肆宣傳理論上存在的風(fēng)險(xiǎn)，比如可能會(huì)出現(xiàn)的惡意軟件。市場研究公司伯頓集團(tuán)的高級分析師Chris Wolf說: “現(xiàn)在虛擬化方面的動(dòng)靜很大，讓人暈頭轉(zhuǎn)向。”

許多IT部門表示，在去年開始創(chuàng)建成千上萬個(gè)新的虛擬機(jī)時(shí)，他們認(rèn)為運(yùn)行速度比其他因素(如安全規(guī)劃)更重要。IDC公司負(fù)責(zé)企業(yè)系統(tǒng)管理軟件的研究主任Stephen Elliott說: “安全是虛擬化擴(kuò)建過程中被遺忘的一個(gè)角落。要是想想現(xiàn)在虛擬機(jī)的數(shù)量，確實(shí)挺讓人擔(dān)憂。”據(jù)IDC聲稱，如今，員工總數(shù)不少于1000人的公司當(dāng)中有75%在使用虛擬化技術(shù)。

Gartner公司的副總裁Neil MacDonald在去年10月舉辦的Symposium/ITxpo大會(huì)上預(yù)測，到2009年，60%的生產(chǎn)虛擬機(jī)安全性將不如物理服務(wù)器。

安全專家Chris Hoff認(rèn)為，到目前為止，圍繞虛擬化安全的討論大部分都是片面的。他是優(yōu)利系統(tǒng)公司安全創(chuàng)新部門的首席架構(gòu)師。其實(shí)應(yīng)該這么考慮: “已經(jīng)把知道的安全知識運(yùn)用到了虛擬化環(huán)境中嗎?我們應(yīng)當(dāng)確保構(gòu)建的虛擬網(wǎng)絡(luò)要與構(gòu)建的物理網(wǎng)絡(luò)一樣可靠、安全。”

某些IT部門正在犯一個(gè)根本的錯(cuò)誤：他們讓服務(wù)器部門單槍匹馬地開展虛擬化項(xiàng)目，沒有讓IT團(tuán)隊(duì)的安全、存儲(chǔ)和網(wǎng)絡(luò)專家參與進(jìn)來。這會(huì)給虛擬化技術(shù)帶來內(nèi)在的安全問題缺陷。

伯頓集團(tuán)的Wolf說：“虛擬化絕大部分靠規(guī)劃，而規(guī)劃必須讓全部團(tuán)隊(duì)參與進(jìn)來，包括網(wǎng)絡(luò)、安全和存儲(chǔ)等團(tuán)隊(duì)。”而事實(shí)上，大多數(shù)IT團(tuán)隊(duì)在迅速推進(jìn)虛擬化的項(xiàng)目，安全方面的工作跟不上。如果錯(cuò)失了與所有專家一起規(guī)劃的大好機(jī)會(huì)，那該怎么辦呢?Wolf說：“安全方面想迎頭趕上，不妨從認(rèn)真審查虛擬基礎(chǔ)設(shè)施入手，這要借助工具或者顧問。”

下面是企業(yè)為了加強(qiáng)虛擬機(jī)安全可以采取的十個(gè)積極步驟：

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患一、控制虛擬機(jī)的數(shù)量

創(chuàng)建虛擬機(jī)只要短短幾分鐘，但虛擬機(jī)數(shù)量越多，面臨的安全風(fēng)險(xiǎn)也越大，所以，最好能夠跟蹤所有的虛擬機(jī)。

Arch Coal公司負(fù)責(zé)IT的CIO Michael Abbene說：“我們先對很不重要的測試和開發(fā)設(shè)備進(jìn)行了虛擬化處理，然后轉(zhuǎn)向一些不太重要的應(yīng)用服務(wù)器。因?yàn)橐恢焙艹晒Γ晕覀儼涯繕?biāo)放在比較重要的服務(wù)器上，但這么做會(huì)加大風(fēng)險(xiǎn)系數(shù)。”該公司目前大約有45個(gè)虛擬機(jī)，包括活動(dòng)目錄服務(wù)器以及幾臺(tái)應(yīng)用服務(wù)器和Web服務(wù)器。

那么，如何控制服務(wù)器數(shù)量激增?一個(gè)方法是: 創(chuàng)建虛擬服務(wù)器要像創(chuàng)建物理服務(wù)器一樣嚴(yán)格。在Arch Coal公司，IT團(tuán)隊(duì)對創(chuàng)建新虛擬機(jī)的審批很嚴(yán)。“無論是物理服務(wù)器還是虛擬服務(wù)器，都要通過同樣的流程才能獲得批準(zhǔn)。”Arch Coal的微軟系統(tǒng)管理員Tom Carter說。

為此，Arch Coal的IT部門通過一個(gè)委員會(huì)(由服務(wù)器和存儲(chǔ)等不同部門的IT員工組成，實(shí)現(xiàn)輪崗制)批準(zhǔn)或者否決申請。這意味著應(yīng)用開發(fā)部門的人員根本無法擅自構(gòu)建VMware服務(wù)器，不過他允許開發(fā)人員提出要求。

專家認(rèn)為，虛擬機(jī)數(shù)量激增是一大問題，會(huì)導(dǎo)致管理、維護(hù)性能及配置供應(yīng)的能力出現(xiàn)滯后。“另外，如果虛擬機(jī)的數(shù)量超出了控制范圍，就會(huì)出現(xiàn)意料不到的管理成本。”Tom Carter說。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患二、運(yùn)行更多流程

虛擬化技術(shù)最吸引人的也許在于速度： 只要幾分鐘就能創(chuàng)建虛擬機(jī)，可以輕松移動(dòng)，只需要一天而不是幾周即可提供新的計(jì)算功能。但I(xiàn)DC的Elliott認(rèn)為，放慢節(jié)奏，認(rèn)真考慮虛擬化成為現(xiàn)有IT流程的一部分，就能夠從根本上預(yù)防安全問題。

Elliott說：“流程至關(guān)重要。考慮虛擬化時(shí)不僅要站在技術(shù)的角度，還要站在流程的角度。”舉例說，如果使用ITIL來指導(dǎo)IT流程，就要考慮虛擬化是否適合流程框架。如果使用其他IT最佳實(shí)踐，也要考慮虛擬化的適應(yīng)性。

Hoff舉例說：“如果要加強(qiáng)服務(wù)器安全，就應(yīng)當(dāng)對虛擬服務(wù)器采取與物理服務(wù)器同樣的一套做法。”

在Arch Coal公司，Abbene的IT團(tuán)隊(duì)就是這么做的。Abbene說：“我們確保物理服務(wù)器安全的最佳實(shí)踐運(yùn)用到了每一個(gè)虛擬機(jī)上。”加強(qiáng)操作系統(tǒng)安全、在每一個(gè)虛擬機(jī)上運(yùn)行反病毒軟件、確保落實(shí)補(bǔ)丁管理，這些措施使得虛擬機(jī)具有同樣的安全流程。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患三、利用安全工具　　

是否需要一套全新的安全和管理工具來保護(hù)虛擬化環(huán)境?不需要！

明智之舉就是，從保護(hù)物理服務(wù)器和網(wǎng)絡(luò)環(huán)境的一套現(xiàn)有安全工具入手，然后運(yùn)用到虛擬環(huán)境。但一定要了解廠商是如何跟蹤虛擬化風(fēng)險(xiǎn)、將來如何與其他產(chǎn)品進(jìn)行集成的。

IDC的Elliott說：“保護(hù)物理環(huán)境的工具用于保護(hù)虛擬化環(huán)境是一種虛假的安全感。”同時(shí)他又說：“對虛擬化環(huán)境的新型安全工具而言，目前處于市場的早期階段。這意味著必須對傳統(tǒng)廠商以及潛在的新興廠商施加壓力。”

別以為平臺(tái)層面的工具(如VMware的工具)足夠好。要看一看新興公司和傳統(tǒng)管理廠商。對那些傳統(tǒng)廠商施加壓力，要求他們做更多的工作，并為他們提供指導(dǎo)。

馬自達(dá)北美公司的CIO—Jim DiMarzio就在他的企業(yè)中采用了這項(xiàng)策略。與Arch Coal一樣，馬自達(dá)北美公司也在虛擬服務(wù)器的核心處運(yùn)行VMware的ESX Server軟件，最近一直在增加虛擬機(jī)的數(shù)量。DiMarzio說，到2008年3月會(huì)有150個(gè)虛擬機(jī)。

為了保護(hù)這些虛擬機(jī)的安全，DiMarzio決定繼續(xù)使用現(xiàn)有的防火墻和安全產(chǎn)品，包括IBM的Tivoli Access Manager、思科防火墻工具以及賽門鐵克的入侵檢測系統(tǒng)(IDS)監(jiān)控工具。

Arch Coal公司的Abbene及其團(tuán)隊(duì)也繼續(xù)使用原有的安全工具，同時(shí)又在調(diào)查BlueLane 和Reflex Security等新興公司的工具。Abbene說：“傳統(tǒng)安全廠商正在奮起直追，他們在這方面落后于新興公司。”

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患四、采用嵌入式管理程序

服務(wù)器上的虛擬機(jī)管理程序?qū)映洚?dāng)虛擬機(jī)的基礎(chǔ)。VMware近期宣布推出的ESX Server 3i虛擬機(jī)管理程序的獨(dú)特之處在于不包括通用操作系統(tǒng)。出于安全上的考慮，它采用了精簡設(shè)計(jì)，只占用32MB空間。

像戴爾和惠普這些硬件廠商表示，它們會(huì)在物理服務(wù)器上交付像VMware這種虛擬機(jī)管理程序的嵌入式版本。基本上，嵌入式虛擬機(jī)管理程序因?yàn)楸容^小，所以比較安全。

專家認(rèn)為，嵌入式虛擬機(jī)管理程序是將來的一大趨勢。不但從未涉足過這個(gè)領(lǐng)域的一些公司會(huì)提供嵌入式虛擬機(jī)管理程序，大多數(shù)服務(wù)器廠商也會(huì)提供。BIOS軟件領(lǐng)域的市場領(lǐng)導(dǎo)廠商Phoenix Technologies近期宣布: 進(jìn)入虛擬機(jī)管理程序領(lǐng)域，首先會(huì)推出名為HyperCore的產(chǎn)品，即面向桌面和筆記本電腦的虛擬機(jī)管理程序。用戶開機(jī)后，可以使用網(wǎng)絡(luò)瀏覽器和電子郵件等客戶軟件，無須等待啟動(dòng)Windows(HyperCore將被嵌入到電腦的BIOS中)。

虛擬機(jī)管理程序市場的競爭和創(chuàng)新對企業(yè)來說是好事。最終可能出現(xiàn)的結(jié)果是，許多公司會(huì)競相提供最精簡、最智能的虛擬機(jī)管理程序軟件。Hoff說：“無論是Phoenix還是其他廠商，會(huì)出現(xiàn)備受關(guān)注的競爭，這些虛擬機(jī)管理程序都希望成為下一個(gè)優(yōu)秀的操作系統(tǒng)。”

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患五、限制訪問虛擬機(jī)權(quán)限　　

如果賦予了訪問虛擬機(jī)的管理員級別權(quán)限，也就是賦予了訪問該虛擬機(jī)上所有數(shù)據(jù)的權(quán)限。伯頓集團(tuán)的Wolf建議，要慎重考慮員工需要哪種賬戶和訪問權(quán)限。更復(fù)雜的問題是，有些第三方廠商針對虛擬機(jī)的存儲(chǔ)和備份安全的建議是過時(shí)的。Wolf又說：“有些廠商甚至本身就沒有遵守VMware針對VMware Consolidated Backup的最佳實(shí)踐。”

Arch Coal的信息安全管理員Paul Telle說，總體而言，公司特別注意限制訪問虛擬機(jī)的管理員權(quán)限。他指出，公司里只有一小部分人才擁有這樣的權(quán)限。

應(yīng)用開發(fā)人員應(yīng)該只有最小的訪問權(quán)限。“我們的應(yīng)用開發(fā)人員可以訪問共享區(qū)域，這是最小的訪問權(quán)限。他們無法訪問操作系統(tǒng)。”他說，這有助于控制虛擬機(jī)數(shù)量激增，同時(shí)增強(qiáng)了安全性。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患六、留意存儲(chǔ)資源

有些企業(yè)在SAN上提供過多的存儲(chǔ)資源，這就可能錯(cuò)誤地讓虛擬機(jī)的共享區(qū)域成為SAN的一部分。

如果使用VMware移動(dòng)虛擬機(jī)的工具VMotion，會(huì)在SAN上分配一些分區(qū)存儲(chǔ)資源。 但還要細(xì)化存儲(chǔ)資源的分配，就像在物理環(huán)境下那樣。展望未來，N-port ID虛擬化技術(shù)是一個(gè)選擇，這項(xiàng)技術(shù)可以只為一個(gè)虛擬機(jī)分配存儲(chǔ)資源。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患七、隔離網(wǎng)段

企業(yè)走上虛擬化道路，不該忽視與安全有關(guān)的網(wǎng)絡(luò)流量風(fēng)險(xiǎn)。但其中一些風(fēng)險(xiǎn)很容易被忽視，如果在進(jìn)行虛擬化規(guī)劃時(shí)沒有網(wǎng)絡(luò)和安全人員參與，更是如此。Wolf說：“許多企業(yè)只是把性能作為合并服務(wù)器的度量標(biāo)準(zhǔn)。”

舉例說，有些CIO絕對不允許任何虛擬服務(wù)器出現(xiàn)在“非軍事區(qū)(DMZ)”。(DMZ是存放外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)，就像電子商務(wù)服務(wù)器一樣，它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))。

Wolf說，要是DMZ里面果真有幾個(gè)虛擬機(jī)，就要放在與一部分舊系統(tǒng)(如關(guān)鍵的Oracle數(shù)據(jù)庫服務(wù)器)分開在的獨(dú)立網(wǎng)段上。

Abbene說，在Arch Coal公司，IT團(tuán)隊(duì)一開始就考慮到了DMZ。他們把虛擬服務(wù)器部署在內(nèi)部局域網(wǎng)上，不面向公眾。Abbene說：“這是一個(gè)關(guān)鍵的決定。”舉例說，公司在DMZ里面有幾臺(tái)安全的FTP服務(wù)器以及幾臺(tái)從事簡單電子商務(wù)的服務(wù)器，公司不打算把虛擬機(jī)部署到里面。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患八、注意交換機(jī)

什么時(shí)候交換機(jī)不是交換機(jī)?Wolf說：“有些虛擬交換機(jī)的工作方式類似集線器，每個(gè)端口鏡像到虛擬交換機(jī)上的所有其他端口。”特別是如今的微軟Virtual Server帶來了這個(gè)問題。VMware的ESX Sserver不會(huì)，思杰的XenServer也不會(huì)。他說：“人們一聽到‘交換機(jī)’，就認(rèn)為有隔離機(jī)制。這其實(shí)視廠商而定。”

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患九、監(jiān)控“非法”虛擬機(jī)　

要擔(dān)心的不僅僅是服務(wù)器。Wolf說：“最大的威脅在客戶端上—非法虛擬機(jī)(rogue VM)。” 那么，什么是非法虛擬機(jī)?用戶能夠下載及使用VMware Player這樣的免費(fèi)程序，會(huì)讓桌面和筆記本電腦用戶可以運(yùn)行由VMware Workstation、Server或者ESX Server創(chuàng)建的任何虛擬機(jī)。

如今許多用戶喜歡在桌面或者筆記本電腦上使用虛擬機(jī)分開各部分工作，或者分開公事與私事。 有些人使用VMware Player在一個(gè)機(jī)器上運(yùn)行多個(gè)操作系統(tǒng)。 比如使用Linux作為基本操作系統(tǒng)，卻創(chuàng)建一個(gè)虛擬機(jī)來運(yùn)行Windows應(yīng)用。

Wolf說：“這些虛擬機(jī)甚至沒有打上相應(yīng)的補(bǔ)丁。那些系統(tǒng)暴露在網(wǎng)絡(luò)上因而所有未加管理的操作系統(tǒng)易受攻擊。”

這會(huì)增添很多風(fēng)險(xiǎn)：運(yùn)行非法虛擬機(jī)的機(jī)器可能會(huì)傳播病毒。更糟糕的是，可能還會(huì)傳播到物理網(wǎng)絡(luò)上。舉例說，有些人就很容易加載DHCP服務(wù)器以便分配虛假IP地址。這實(shí)際上就是一種拒絕服務(wù)攻擊。至少，會(huì)把IT資源浪費(fèi)在查明問題上。甚至有可能是簡單的用戶錯(cuò)誤，也會(huì)給網(wǎng)絡(luò)帶來不必要的負(fù)擔(dān)。

那么如何防范非法虛擬機(jī)呢?首先應(yīng)當(dāng)加以控制，規(guī)定誰可以獲得VMware Workstation(因?yàn)閯?chuàng)建虛擬機(jī)需要它)。IT部門還可以使用群組安全策略來防止某些可執(zhí)行程序運(yùn)行，比如安裝VM Player所需的可執(zhí)行程序。另一個(gè)選擇是，定期審查用戶的硬驅(qū)。需要找出裝有虛擬機(jī)的機(jī)器，然后標(biāo)記出來，以便IT部門采取適當(dāng)行動(dòng)。

這是不是已成了用戶和IT部門之間的另一個(gè)爭論點(diǎn)—精通技術(shù)的用戶需要在公司能像在家里那樣使用虛擬機(jī)?Wolf說還沒有。他說：“大部分IT部門對此置之不理。”

如果允許用戶在電腦上運(yùn)行虛擬機(jī)，VMware的Lab Manager及其他管理工具可以幫助IT部門控制及監(jiān)管這些虛擬機(jī)。

十步監(jiān)控預(yù)防數(shù)據(jù)中心虛擬化安全隱患十、做好虛擬化安全預(yù)算

IDC的Elliott說：“確保分配好虛擬化安全和管理方面的預(yù)算。”Arch Coal公司的Abbene指出，可能不需要在安全預(yù)算中為虛擬化安全單列預(yù)算，但全部安全預(yù)算最好為它留出足夠多的資金。

另外，在估算虛擬化的投資回報(bào)時(shí)要留意安全成本。Hoff指出，對越來越多的服務(wù)器進(jìn)行虛擬化處理，并不會(huì)使安全開支有所降低，因?yàn)樾枰\(yùn)用現(xiàn)有的安全工具來管理每個(gè)虛擬機(jī)。如果沒有預(yù)料到這筆開支，可能會(huì)減少投資回報(bào)。

據(jù)Gartner聲稱，這是目前常犯的一個(gè)錯(cuò)誤。據(jù)Gartner的副總裁Neil MacDonald聲稱，2009年，部署的虛擬化技術(shù)大約有90%面臨未預(yù)料到的成本，比如安全成本等，這會(huì)影響投資回報(bào)。

【編輯推薦】

1. 單個(gè)VMware虛擬機(jī)故障監(jiān)控和重置
2. 如何監(jiān)控虛擬環(huán)境？
3. 監(jiān)控VMware ESX的11種第三方工具