学堂：了解虚拟化安全

虚拟化是数据中心的流行技术，而且很有道理。典型的服务器的利用率不足40%，虚拟化可以更有效地利用技术资源，并节约固定费用。如果有了EMC公司的Vmware辅助技术的扩展和一些其他的虚拟化平台，很明显，虚拟化这项技术会迅速发展。

通常，安全是事后才要考虑的事情，而且还是一件大事。虚拟化改变了服务器和数据中心的定义。因为反对把明显的物理服务器和网络（推测以被保护或监控的）连接，一个虚拟环境就是一个独立的，设备齐全的“盒子里的数据中心”，当所有过去在网络上发生的程序对程序通信（process-to-process communications），现在可能发生在独立的IT场地内部，毫无疑问，安全衍生物将会意义重大。

事实是，没人知道虚拟化将在多大的程度上颠覆过去15年中，该行业为建立系统和应用程序防护方面的努力。为了掌握这种局势，理解安全在虚拟世界的不同功能非常重要。

不可能明确地说清楚意义重大的虚拟化安全的机遇是什么，但是有些关键点需要考虑。

网路防护无意义----大部分的网络防护都是发生在可见流量上的，数据包与行为和恶意行为相比，然后采取措施。如果流量不可见，就需要在虚拟服务其内部实行基于网络的办法。也就是说，在虚拟机内部或在跨越多个物理机的虚拟架构之间，监控进程间通信。

在虚拟世界中“网络”定义有很大的差异，也需要不同的防护。Blue Lane Technologies公司和Reflex Security公司是两家已经着手解决这个问题的产商，不管结果是什么。

管理程序庞大（对于攻击来说）---每个人都在说操作系统是如何地不安全。是的，所有的操作系统都不安全，但是复杂一点的说（朋友之间的复杂）意味着在潜在的不确定的另外的操作系统，也就是管理程序，上堆积整个混乱的潜在的不安全的操作系统。

对于不熟悉虚拟化术语的人来说，管理程序是无遮蔽金属和在上面运行的操作系统实力之间的软件提取层。这是软件，和大部分我们知道的软件的情况一样，它很容易受到攻击。问题是到底有多容易？桩子很高，如果下伏系统受到攻击，可能所有在它上面运行的虚拟机都会受到影响。

如果结果是管理系统可能会受到攻击，那就好像在流沙上面建造摩天大楼。你不需要成为建筑工程师就可以发现这是如何产生的。

Steroids上的结构管理----当每个物理服务器上有5，10或者100个虚拟设备时，大部分的负担是放在已经存在的结构管理架构上的。给5000个虚拟图像打补丁，运行多个不同的操作系统几乎是不可能的。今天的结构管理提供品都必须包含在虚拟世界操作所需的可测量性（和效率）的因素。

商业的连贯性是一项挑战---很多的企业都运行备份的服务器，和复制技术，只是以防万一。对于mission-critical应用程序，这事做地非常适合，因为停工期费用非常昂贵。但是如果这些关键的应用程序是在虚拟空间中运行的，你的商业连贯性计划需要把这些因素包括进去。

在“过去的又变成时新的”类别中，这是个已经解决的问题。由大型机操作系统解决问题的时代已经过去了。只因为我们以前已经看到了，并且可以找到类似的情况，这并不是说，在这种新情况下，这个问题已经不需要解决了。

软件商业模式必须改变----很多软件，特别是管理软件 是按照每个管理设备定价的，但是在虚拟世纪，什么是管理设备呢？制造出的每一个虚拟图像都需要付费吗？图像改变的时候，要发布信贷吗？我没有答案，但是我可以说的是，价格现状是不够的。

我们会看多虚拟化会产生软件间隔模式的出现。

这些问题的答案可能早了些。我知道，有很多聪明的人指出了这些问题，并在市场上推出了新的产品来解决这些问题。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友