虚拟化技术对中小企业来说是个福音;但要是各种各样的问题经常出现,这项技术也可能是个负担。与实施任何IT技术一样,采取积极主动的做法远比采取消极被动的做法要好得多,而且常常更省钱。了解一些常见问题(如下面概述的这些问题)可以帮助企业避免犯同样的错误。
未能将安全最佳实践转移过去
BeyondTrust公司的首席运营官Brian Anderson强调,虚拟机管理程序层带来了一层新的软件,需要采取与服务器本身一直以来采取的同样的许多安全防范措施。但是企业常常没有通过虚拟化项目,将已经为单台服务器落实的安全最佳实践转移过去。他说:“在如今的大多数虚拟化环境下,IT人员可以将数据装入到虚拟机管理程序上,因而很容易获得没有限制、未加监控的访问权,从而在不被察觉的情况下,窃取整个数据库的内容,而在传统环境下这根本不可能。”
Anderson建议,为了避免这个问题,企业需要将针对传统服务器实施的同样的最佳实践、安全政策和治理流程转移过去,将它们实施到虚拟机管理程序层上。这些最佳实践当中有一部分需要为特许访问制定政策和流程(想了解更多信息,请参阅附文《首要问题:忘了特许访问政策》)、监控虚拟机管理程序上的用户行为以及将识别可疑行为的工具落实到位。
企业忍不住减少安全预算
据Anderson声称,上马虚拟化项目的动因常常是需要降低成本,因为企业可以显著减少所要采购和维护的硬件数量。“现在的情况是,许多企业希望同时能够缩减安全成本,与硬件成本减少的现状相一致,实际上安全预算需要增加,以保护额外的软件层。”
Anderson发现虚拟化项目经常犯的最大错误在于,安全预算减少后,保护力度就随之丧失了,因为许多人认为,安全成本应该与硬件成本保持同样的正比关系。他建议而是应该增加安全预算,防止棘手的安全问题在虚拟化技术实施后出现。
不顾出现虚拟机散乱的风险
Layer 7 Technologies公司的首席技术官Scott Morrison表示,虚拟化技术方面一个重大又很常见的问题是虚拟机散乱。他说:“创建新的虚拟机变得非常轻而易举。然而,虚拟机占用非常庞大的磁盘空间,而且常常只有一个文件名来识别它们是什么。”
他补充说,连偶尔在笔记本电脑上进行虚拟化的人也很快遇到了这个问题。现在市面上出现了对付虚拟机散乱的管理工具,IT经理们应该调查研究一下这些工具是否适用于自己的环境。Morrison补充说,另外,实施速带重复数据删除技术的存储解决方案对于削减虚拟映像的存储成本具有巨大影响,因为映像之间的实际差异通常非常小。
摸清存储需求
Sentilla公司的首席技术官兼联合创始人Joe Polastre表示,许多企业低估了虚拟化技术给存储带来的影响,特别是给存储区域网络带来的影响。他强调,对于存储更高的需求常常导致企业投入大笔资本来购置存储系统,而且缺少满足这些存储机柜所需要的电量。
为了防止存储问题,企业应该关注专门应用于管理型环境而设计的存储系统。
运行中虚拟映像之间的隔离
Morrison强调,企业试图实施虚拟化技术时,运行中虚拟映像之间的隔离会成为一大问题。他补充说,网络工程师们非常擅长使用物理网络基础设施、硬件和虚拟局域网(VLAN)来建立信任区,但是在庞大的虚拟化环境下,这个过程却不大简单。
他说:“建立虚拟网络的工程师常常与建立物理网络的工程师不是同一批人,前者常常使用全然不同的工具和后者并不熟悉的模式。这就导致了网络安全和服务级别协议(SLA)等方面存在不连贯性。随着虚拟网络变得日益流行、日益复杂,这会成为一个越来越严峻的问题。”
可以采取一些预防措施,比如对现有的工程师进行虚拟网络方面的培训,那样不至于在物理网络方法与虚拟网络方法以及工作人员彼此之间形成分歧。还有一些技术解决方案有助于在信任区之间建立应用层隔离。
根据技术而不是根据人来选择解决方案
Morrison表示,选择虚拟化解决方案方面的最大问题不是技术问题,而是人员、政策和流程等问题。他认为,企业往往忽视了现有的顾问班子,仓促上马虚拟化技术。
他说:“给新的虚拟化小组配备人员很常见,这些人的角色和职责与现有人员的角色和职责重复,但侧重于新的虚拟化环境。尽管这很好,因为它打破了现状,可以给IT带来新的灵活性,但是会在现有的人员当中引起问题,而且常常危及安全、SLA、最佳实践和工作流等方面现有的良好流程和政策。”
他建议企业应根据需要来配备人员,同时利用现有的人员来开展更庞大的虚拟化项目。他表示,网络工程师可能认为虚拟化是个威胁,因为它简化了物理布线;但是如果他们能了解虚拟化技术、为虚拟化网络带来传统的严格管理,也会把这项技术视作是职业生涯的发展机会。
首要问题:忘了特许访问政策
BeyondTrust公司的首席运营官Brian Anderson强调,当企业对不大重要的服务器进行虚拟化处理时,安全问题显得不大重要。然而,许多企业现正在对最敏感的服务器进行虚拟化处理,却没有实施相应的工具以便管理员访问。
他说:“从特许访问的角度来看,这个问题还会因下面这个事实而更棘手:高度虚拟化的环境往往为每一个管理员授权,以便可以访问更多的虚拟服务器,而之前可以访问的物理服务器数量比较少。允许访问更多的机器带来了更大的风险;最佳实践政策和流程也没有及时跟上后,就很危险了。”
Anderson建议企业应该为管理员落实控制措施,确保没有什么不在企业政策和政府法规的许可范围之内。
文章出处:http://www.processor.com/articles/P3306/21p06/21p06.pdf?guid
译文链接:http://virtual.51cto.com/art/201108/281515.htm