【IT专家网独家】2007年,数据中心在虚拟化方面的最大问题还是“它能为企业节省多少资金与时间?” 而到2008年,这个问题将演变成“我们到底安不安全?”
这的确是一个棘手的问题。 市场上已有许多的厂商和咨询机构都在倾力推销有风险和安全冲突预防功能的安全产品和服务。 同时,某些安全研究员也在鼓吹理论上存在的风险,比如针对Hypervisor的恶意软件的兴起。Burton Group的高级分析师Chris Wolf表示“人们对虚拟化颇有微词。”
当2007年虚拟机开始大行其道的时候,许多IT部门皆表示他们会把运行速度作为首要考量。(不必惊讶,因为大部分企业都是从测试和应用开发箱入手来推进虚拟化实施的,而不是运行核心商业应用的服务器。)
“我们发现安全问题在虚拟化搭建的过程中是一个被遗忘的角落,”IDC企业系统管理软件研究总监Stephen Elliott说道。 “看看现在虚拟机的数量,的确是让人捏一把汗。” 根据IDC的调查显示,有75%规模超过1000人的企业已经开始采用虚拟化。
Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会上预测,到2009年,60%虚拟机的安全性将大大弱于相应的物理服务器。
安全专家Chris Hoff指出,目前大部分关于虚拟化安全问题的探讨都是流于表面,人们通常是拿虚拟服务器与物理服务器来比较说事。
Hoff表示这种思考方式有欠妥之处,在他的博客上经常有关于这类课题和服务器的文章。 其实人们应该问自己“你是否已经将你所知的都运用到了虚拟化环境中?”
“人们对这些论调感到紧张,其实在真实环境中你还是可以采取一些措施的,”Hoff说道。 当然,虚拟化确实带来不少新的安全问题,但凡事总有个缓急,他说: “我们要注重务实。 我们需要像搭建物理网络架构那样去搭建虚拟网络。”
某些IT部门都犯了一种根本的错误: 他们让服务器组单枪匹马地去进行虚拟化工作 – 而把IT团队的安全、储存和网络专家关在了门外。 这将会造成与虚拟化技术或产品内在缺陷无关的安全问题。 “其实这是一次整合团队的绝佳机会,”Hoff解释道。
Burton Group的Wolf认为“虚拟化中有90%的工作都是靠规划,而规划必须有整个团队的参与,其中包括网络、安全和储存团队。”
但事实却并非如此,大部分IT团队推进虚拟化的速度太快,以至于他们自己有点跟不上。 倘若你没有与专家一起规划虚拟化, 那么扩展虚拟机数量并在虚拟机上运行大型应用就是一件令人担忧的事了。
“想要迎头赶上,你可以从利用工具或聘请专家来审查虚拟基础架构入手,”Wolf建议道。 “然后将一个大目标拆分成若干个小目标来逐步完成。” (Wolf建议采用CiRBA 和 PlateSpin的审查工具)
下面我们来详细看看企业打造安全虚拟化的10大步骤:
1. 控制虚拟机增长过快
Arch Coal公司的CIO Michael Abbene一语道出了虚拟机增长过快所带来的问题: 创建虚拟机只要几分钟。 它们的确能很好地隔离一定程度的计算工作。 但你拥有的虚拟机越多,你所面临的安全风险就越高。 你最好能对所有的虚拟机都保持追踪。
“我们会先从虚拟化简单的测试和开发箱入手,”Abbene说道。 “继而转向小型的应用服务器, 然后逐步扩大。 我们知道一步登天只会增加我们的风险。” 该公司目前拥有45个虚拟机,其中包括活动目录服务器和一些应用和网站服务器。
那么该如何控制服务器增长过快呢? 有一个方法: 像创建物理服务器一样地去创建虚拟服务器或虚拟机。 在Arch Coal公司,IT团队对创建新的虚拟机的审核很严格: “人们所要经过的审批流程就如同物理服务器无异,”Arch Coal的微软系统专家Tom Carter说道。
本着这个目的,Arch Coal的IT部门通过变革控制小组(由服务器、储存等部门的IT员工轮替组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了。
VMware的 VirtualCenter 管理工具与Vizioncore的工具能帮助IT管理虚拟机的增长过快。
IDC的Elliott表示 “虚拟机的增长过快是一个大问题,它会导致在管理、维护和生产上的落后”。 同时,如果你无法有效的控制虚拟机的数量,那些出乎意料的管理问题也会造成成本激增。
