隨著虛擬化技術(shù)的興起�����,以及許多企業(yè)因此改而在單臺(tái)服務(wù)器上運(yùn)行多個(gè)虛擬機(jī)��,許多這些問(wèn)題隨之消失了����。
由于現(xiàn)在將多個(gè)虛擬機(jī)放到單單一臺(tái)服務(wù)器上,IT部門就能確保服務(wù)器的處理能力分配給了許多應(yīng)用程序��。通常以個(gè)位數(shù)來(lái)衡量的利用率現(xiàn)在可以提高到70%��,甚至更高,確保了浪費(fèi)在成本高��、利用率低的服務(wù)器上的資本少得多��。
向虛擬化技術(shù)轉(zhuǎn)變的潮流帶來(lái)了有時(shí)所謂的“虛擬化停滯”(virtualization stall)����,這也絕非什么秘密。這個(gè)問(wèn)題是指����,許多企業(yè)對(duì)25%左右的服務(wù)器進(jìn)行虛擬化處理后,就停滯不前了��。
如果你分析一下為什么會(huì)出現(xiàn)這個(gè)問(wèn)題��,通常會(huì)發(fā)現(xiàn)企業(yè)將所有簡(jiǎn)單的服務(wù)器(比如用于開(kāi)發(fā)的機(jī)器以及DNS等低風(fēng)險(xiǎn)的內(nèi)部IT應(yīng)用程序)進(jìn)行了虛擬化處理���,卻沒(méi)有對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理����。
造成虛擬化停滯的原因有多方面����,但是重要的一個(gè)原因是安全���。實(shí)際上,安全小組沒(méi)有把握�,不知道如何將為物理環(huán)境設(shè)計(jì)的安全做法搬到虛擬化環(huán)境。盡管存在這樣的困惑�,但方向很明確:必須更新安全做法,才能打破虛擬化停滯僵局��。
下面是安全部門走向虛擬化未來(lái)時(shí)面臨的三個(gè)最常見(jiàn)的問(wèn)題:
一����、對(duì)網(wǎng)絡(luò)流量缺乏了解�����。
許多安全部門監(jiān)控網(wǎng)絡(luò)流量�,以便識(shí)別和阻止惡意流量和企圖滲透的活動(dòng)。安全廠商們?yōu)榇送瞥隽藢iT的硬件設(shè)備�,可以進(jìn)行監(jiān)控,以減小安裝和配置工作的難度���。這些硬件設(shè)備可以就像另一臺(tái)服務(wù)器那樣安裝到網(wǎng)絡(luò)上����;只需要幾小時(shí)或幾天就能以安裝并運(yùn)行起來(lái)。這種硬件設(shè)備方法簡(jiǎn)化了安全做法���,對(duì)處于困境的安全小組和IT運(yùn)營(yíng)小組來(lái)說(shuō)是莫大的福音����。
不過(guò)在虛擬化環(huán)境下�,這種方法存在一個(gè)問(wèn)題。同一臺(tái)服務(wù)器上的多個(gè)虛擬機(jī)通過(guò)虛擬機(jī)管理程序的內(nèi)部網(wǎng)絡(luò)來(lái)聯(lián)系��,并沒(méi)有數(shù)據(jù)包流經(jīng)物理網(wǎng)絡(luò)——而安全硬件設(shè)備就位于物理網(wǎng)絡(luò)上�,隨時(shí)準(zhǔn)備監(jiān)測(cè)數(shù)據(jù)包。當(dāng)然���,如果虛擬機(jī)駐留在不同的服務(wù)器上�����,虛擬機(jī)之間的流量就會(huì)跨網(wǎng)絡(luò)傳送����,那樣就可以接受檢查了����。不過(guò)��,出于性能方面的考慮���,與同一應(yīng)用程序相關(guān)的多個(gè)虛擬機(jī)(如某個(gè)應(yīng)用程序的Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器)常常放在同一臺(tái)物理服務(wù)器上。
幸好�,廠商們已挺身而出,積極解決這個(gè)問(wèn)題���。虛擬化技術(shù)廠商們提供了連接到虛擬機(jī)管理程序的軟件接口�����,思科和Arista等網(wǎng)絡(luò)廠商們已經(jīng)在使用這些軟件接口�����,與虛擬交換機(jī)集成起來(lái),進(jìn)而能夠檢查流量����。所以,這個(gè)問(wèn)題并非無(wú)法克服����,不過(guò)它的確需要對(duì)現(xiàn)有的網(wǎng)絡(luò)交換方法進(jìn)行升級(jí)�,還需要使用與這種更新的計(jì)算模式集成起來(lái)的安全產(chǎn)品���。換句話說(shuō)�,這需要投入更多的資金����。但是僅僅對(duì)網(wǎng)絡(luò)流量缺乏了解絕不是企業(yè)推遲對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理的理由。
二�����、影響性能的安全開(kāi)銷�����。
在單單一臺(tái)服務(wù)器上支持多個(gè)虛擬機(jī)的好處對(duì)于服務(wù)器制造商自己來(lái)說(shuō)已經(jīng)變得很明顯�����,為此它們相應(yīng)改動(dòng)了自己的服務(wù)器設(shè)計(jì)�。不像以前的1U比薩盒服務(wù)器也許只能支持四五個(gè)虛擬機(jī),今天的4U刀片服務(wù)器配備了數(shù)百GB的內(nèi)存和大量的網(wǎng)卡����。因而�����,現(xiàn)在服務(wù)器通常能夠支招25個(gè)或50個(gè)虛擬機(jī)�。成本效益和利用率很高�,但是在單單一臺(tái)服務(wù)器上運(yùn)行如此多的虛擬機(jī)會(huì)帶來(lái)其他問(wèn)題。
一個(gè)常見(jiàn)的問(wèn)題歸因于每臺(tái)服務(wù)器管理自己的安全產(chǎn)品��。一個(gè)典型例子就是反病毒軟件�。在許多IT部門,每臺(tái)服務(wù)器每天同時(shí)更新自己的反病毒特征文件���,因而導(dǎo)致25或50個(gè)虛擬機(jī)同時(shí)開(kāi)始進(jìn)行一樣的操作����。這拖累了服務(wù)器��,因而導(dǎo)致吞吐量比較低��。
幸好����,現(xiàn)在市面上有新的技術(shù)解決方案。首先����,正如虛擬化技術(shù)廠商提供了應(yīng)用編程接口(API),讓網(wǎng)絡(luò)廠商們可以與虛擬機(jī)管理程序集成起來(lái)����,它們現(xiàn)在還提供專門的API,讓安全公司們可以推出不需要安裝到每一個(gè)虛擬機(jī)上的新產(chǎn)品��。相反�,這些產(chǎn)品本身就是虛擬機(jī)。
當(dāng)虛擬機(jī)管理程序認(rèn)識(shí)到需要調(diào)用反病毒軟件(比如要求訪問(wèn)在打開(kāi)之前必須先瀏覽的文檔)的流量時(shí)���,它會(huì)把這個(gè)調(diào)用轉(zhuǎn)發(fā)到虛擬機(jī)上的反病毒軟件��,由虛擬機(jī)來(lái)執(zhí)行掃描���。一個(gè)虛擬機(jī)代表所有25個(gè)虛擬機(jī)運(yùn)行反病毒掃描,而不是25個(gè)虛擬機(jī)運(yùn)行各自的反病毒掃描——這顯然是一種更好的方法��。
你可能也猜到了����,第二個(gè)方法是基于云�。面對(duì)對(duì)文檔進(jìn)行重復(fù)性反病毒掃描這樣的任務(wù)——需要分發(fā)數(shù)百份或數(shù)千份(可能甚至數(shù)百萬(wàn)份)反病毒特征文件����,何不讓成千上萬(wàn)的端點(diǎn)訪問(wèn)一款放在中央位置的、基于云的解決方案呢��?提供商能確保自己有足夠的資源來(lái)處理所有流量����,而用戶避免了性能問(wèn)題,又不必把更多的資本投入到安全軟件上����。這種方法帶來(lái)了顯著效益,我們?cè)诓贿h(yuǎn)的將來(lái)會(huì)聽(tīng)到基于云的安全方案方面的更多動(dòng)靜�。
三、安全邊界遭破壞����。
今年1月,我在華盛頓出席了首屆安全威脅大會(huì)��。會(huì)議的一個(gè)主題是�,以為自己的安全邊界牢不可破是愚蠢的想法。有組織犯罪團(tuán)伙的興起以及政府資助的黑客的出現(xiàn)���,意味著不法分子針對(duì)感興趣的目標(biāo)發(fā)起了手段極其高明的攻擊�。
互聯(lián)網(wǎng)安全聯(lián)盟(Internet Security Alliance)的首席執(zhí)行官Larry Clinton提供了一些駭人的統(tǒng)計(jì)數(shù)據(jù)���,關(guān)于目前的安全威脅以及它們對(duì)如今IT做法的影響��。簡(jiǎn)而言之�����,目前的安全方法都不夠有效����。要是不法分子將目光移向貴企業(yè)���,就會(huì)設(shè)法進(jìn)入到你的網(wǎng)絡(luò)上����。他們能夠安裝持續(xù)相當(dāng)長(zhǎng)時(shí)間的僵尸程序����,可以仔細(xì)翻查你的服務(wù)器,查找和竊取重要數(shù)據(jù)���。這些不法分子采用的手法歸于“高級(jí)持續(xù)性威脅”(簡(jiǎn)稱APT)這一類攻擊�����。
那該怎么辦呢�?
當(dāng)然,一個(gè)辦法就是整合一層新的安全產(chǎn)品——這種產(chǎn)品專門用來(lái)對(duì)付APT.新老廠商隨時(shí)準(zhǔn)備向你銷售針對(duì)APT的產(chǎn)品��。我不會(huì)拒絕考慮這種方法���,但是我對(duì)這種威脅的看法是��,它無(wú)異中加大了安全做法在單臺(tái)服務(wù)器或單個(gè)虛擬機(jī)層面的重要性——換句話說(shuō)���,就是實(shí)例層面的安全。你絕對(duì)應(yīng)該運(yùn)行完整性監(jiān)控���,并且使用機(jī)載入侵預(yù)防系統(tǒng)�����。
當(dāng)然���,把這些產(chǎn)品放到每一個(gè)虛擬機(jī)上的做法與“把安全移到虛擬機(jī)外面”的做法相沖突����,但是一種更合理的想法是���,只能在虛擬機(jī)上執(zhí)行的安全機(jī)制應(yīng)該放在虛擬機(jī)上執(zhí)行,而可以在幾個(gè)虛擬機(jī)之間共享的安全機(jī)制應(yīng)該遷移到某個(gè)中央位置��。沒(méi)有十全十美的解決之道�,但是安全向來(lái)需要權(quán)衡利弊,不是嗎�?
結(jié)束語(yǔ)
虛擬化技術(shù)帶來(lái)的經(jīng)濟(jì)意義意味著,這種計(jì)算模式可能會(huì)變得很廣泛�����。就因?yàn)槟壳暗陌踩龇ㄎ吹玫街С侄噲D抵御這項(xiàng)技術(shù)廣泛應(yīng)用����,就好比試圖逆潮流而行,那是徒勞無(wú)益的�。
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
