云計算如何應(yīng)對虛擬化環(huán)境威脅?

責(zé)任編輯:editor003

2012-12-12 10:19:21

摘自:IT專家網(wǎng)

由中國計算機用戶協(xié)會、中國互聯(lián)網(wǎng)協(xié)會指導(dǎo)、比特網(wǎng)和IT專家網(wǎng)主辦、比特CIO俱樂部承辦的第五屆中國CIO年會,在國家會議中心隆重開幕。

由中國計算機用戶協(xié)會、中國互聯(lián)網(wǎng)協(xié)會指導(dǎo)、比特網(wǎng)和IT專家網(wǎng)主辦、比特CIO俱樂部承辦的第五屆中國CIO年會,在國家會議中心隆重開幕。本次年會主題定位在“新技術(shù)浪潮下的IT變革”。聚焦熱點技術(shù),關(guān)注企業(yè)應(yīng)用,引領(lǐng)IT變革。在今年被廣泛關(guān)注的云計算新技術(shù)上,如何把云技術(shù)延伸到企業(yè)級的應(yīng)用是個熱點,在下午云計算專題論壇上,來自國內(nèi)云計算相關(guān)領(lǐng)域的業(yè)內(nèi)專家及從業(yè)技術(shù)負(fù)責(zé)人,以及制造業(yè)、教育業(yè)、互聯(lián)網(wǎng)等方面的CIO在此次論壇中一起探討云時代的企業(yè)發(fā)展新趨勢與機遇。以下為榮新IT培訓(xùn)首席信息官張琦的大會實錄:

榮新IT培訓(xùn)機構(gòu)的首席信息官張琦在云計算分論壇里做了主題演講

張琦在發(fā)言中提到,私有云為何而來?這個話題咱們把云拋開,先看看管理的一個場景,那么我們有一個同學(xué),有一個學(xué)員也是在視頻的網(wǎng)站,后來兩家網(wǎng)站合并了,成了比較大的視頻網(wǎng)站,他現(xiàn)在服務(wù)器的容量,虛擬化之前兩千九百臺,虛擬化之后一千八左右,兩家公司合并大家自己算,這算是虛擬化最大的一個數(shù)據(jù)中心,數(shù)據(jù)虛擬化一個百分比達到了80G,這個是國內(nèi)已經(jīng)最高了。那么,我們占在這些主機的面前,在想虛擬化,想著為什么來實現(xiàn)虛擬化,為什么要建立一個私有云?因為我們在原來會有很多成本,會花在買基礎(chǔ)的硬件上,構(gòu)建一些軟件的創(chuàng)新上面,這個時候大家會發(fā)現(xiàn)我們的成本比例跟現(xiàn)在不太一樣,虛擬化之后的比例不太一樣,虛擬化之后我們看到我們會把很多的錢拿出來做創(chuàng)新,這也是大家想老板在想,所以你跟他只要去談,我們能得到什么樣的收益,那么這個虛擬化項目,或者私有云的項目會被他很容易的所接納,但是實際上并不是這樣,我們實際上把這個錢花到了認(rèn)為是虛擬化能夠帶的利益里面,把前期的設(shè)備投進去了,但遇到了更多的問題,就是運維管理和安全管理的成本問題。

在一些企業(yè)當(dāng)中,尤其是一些幾年前在做游戲的公司,他們消耗的IT成本在哪?90%消耗在運維的部分,這些成本拉動了,應(yīng)該是拖住了企業(yè)創(chuàng)新的步伐,也就是說我用一個例子,大家說虛擬化云計算,那么會很節(jié)省人力,那么節(jié)省人力為什么這么多的公司在招IT運維管理人員?很簡單我們可以看到互聯(lián)網(wǎng)你招很簡單的,就是這種大一點的運營公司。你可以發(fā)現(xiàn)他,他招監(jiān)控的人一招是50、100,這個例子對我們特別好,因為我們做培訓(xùn)很容易人員就出去了,60%以上花在了運維這塊。

但實際上云平臺能給大家?guī)硎裁礃拥膬?yōu)勢呢?全新的交付后來也會講,這些交付這面的數(shù)據(jù)中心不說,幾年前大家一說就是奔亦莊走,這些交付流程多么復(fù)雜,可能你從來沒有細(xì)細(xì)的自己去數(shù),他有幾十個環(huán)節(jié)。再一個就是競爭的運維方式,集中化管理,我們想一個問題,前幾天做的,做的一個策劃案是誰的?也別說公司名稱了,他們在做高檔的家具一體化的服務(wù)營銷,全國應(yīng)該有29家或者到30家,他們會每個門店做什么呢?做桌面虛擬化,他想的是把所有的這種桌面的系統(tǒng),集中到總部或者說門店的服務(wù)器當(dāng)中,做完虛擬化以后減少運維的這種管理的成本,實際上他在做的時候會做到很多意想不到的問題,會有新的方案來解決,但是我們不可否認(rèn),真正把所有的數(shù)據(jù)集中到一起管理的時候,他只要能夠提供安全、穩(wěn)定、高效這三個環(huán)節(jié)如果你能夠滿足,他確確實實是完成了一種質(zhì)的飛躍,是在整個IT運維歷史上一種從未有過層面。

我們舉一個電源的例子,企業(yè)IT運維原來有需要20個電源,五臺服務(wù)器,咱們現(xiàn)在算十臺,一臺服務(wù)器兩個,十臺服務(wù)器二十個電源,后來簽到一個虛擬機上有兩個電源就可以,服務(wù)器利用會提到80%以上。原來服務(wù)器單獨購買一臺,如果是光口會買一個光傳輸?shù)?,為這些服務(wù)器在虛擬化之后,實際上這臺服務(wù)器已經(jīng)原原本本的放在那里。

虛擬化過程當(dāng)中,虛擬化可以直接遷移的,有的IT管理人員不能說出自己出問題的服務(wù)器在哪個主機上?當(dāng)然你有一臺的肯定在這個上,但是很大的一個里面,具體在哪真的說不清,有些說的省電,虛擬化省電的時候會把這些負(fù)載不高的服務(wù)器遷移到另外一個服務(wù)器上面,然后這臺服務(wù)器在晚上的時候,關(guān)閉狀態(tài),但是你牽回來之后出現(xiàn)問題了,操作認(rèn)為失誤或者沒按標(biāo)準(zhǔn)流程走,會找不到出現(xiàn)問題的服務(wù)器是哪一臺。

所以,虛擬化如果是講安全,講私有云的安全,我們做虛擬化這種安全管理的時候,要把他剝離開,就是傳統(tǒng)的和虛擬化還是要分離,因為有些安全的文化不要混淆到虛擬化之后,這個文化根本不靠邊,靠邊的話在之前就很好的解決,我們把這個蓋把他摘了。

這里沒有虛擬化,這也是虛擬化遇到的一些問題,我們有這么一復(fù)牌,這里有很多的問題很多威脅,還有很多廠商提供他所對應(yīng)的方案,這些方案和我出現(xiàn)的問題,我自己都沒辦法理清楚,哪類是哪類,哪種是哪種,那些問題應(yīng)該對應(yīng)那種解決方案,現(xiàn)在如果把花色給理出來呢?我們黑色的是問題,然后我們紅色的代表我們的配套的解決方案跟產(chǎn)品,這樣可以解決,首先先理清楚你遇到哪些威脅,有哪些方案可以解決你的威脅,他雖然不是一一對應(yīng)的,但是有問題,終究可以有解決的方法,為什么玩斗地主喜歡在電腦上,因為電腦幫你理好牌。

虛擬化之前沒有解決好的一個案例,這張圖用了很多次,在不同的演講在做一些具體培訓(xùn),這張圖幾年前在用,到現(xiàn)在依然喜歡,在很早以前,我們在講安全的時候會講密碼,密碼的安全策略決定你一個企業(yè)當(dāng)中是否會造成數(shù)據(jù)泄露和病毒攻擊,建議這些使用者不要把密碼貼在自己的顯示器上,不要把他自己的生日,把電話號碼當(dāng)成這種密碼,幾年之后這種方式有了很好的改變,但是這種案例,我們在云端的管理員是否有一個密碼,這個密碼只有一個人掌握,或者說我們只要使用這個密碼,一個人就能整個來獲得整個超級管理權(quán)限,我咨詢了很多了解了很多,確確實實依然還采用一個管理員就能利用超級密碼,可以控制所有的這種服務(wù)器或者其他的資源,我們可能也知道,有一個密碼本,密碼本可以通過另外的二層加密然后打開密碼本,在用密碼本登錄我們不同業(yè)務(wù)部門的服務(wù)器,這是最不安全的。

我們單獨講虛擬化的層面的問題,有很多的問題,什么網(wǎng)絡(luò)的隔離問題,管理復(fù)雜問題,最重要的是虛擬化的交換機,就是沒有通過你的交換機通口到外面去,所以問題在這,怎么解決他的不可見,有廠商在回去查沒問題,流量要解決的問題,這是內(nèi)部的。

服務(wù)器層面就更多了,先說免罪金牌,測試服務(wù)器和生產(chǎn)服務(wù)器,如果之前說了沒法進行隔離,之間可以交叉感染,測試服務(wù)器是不是可以不裝殺毒軟件,大部分是不裝的。再有一個我們管他為什么叫免罪金牌,我臨時使兩天,你要多大,50個G,要發(fā)布嗎?肯定要發(fā)布,什么安全措施都沒有,這段時間是最危險的,但他確實是,通常是允許這樣,但一個虛擬機內(nèi)部的掃描風(fēng)暴,掃描風(fēng)暴和后面三個問題是一樣,是怎么產(chǎn)生?還拿開始的那個例子說,建家具的零售店,一個店里拿50臺主機,分配一個服務(wù)器做虛擬化,每一個中段按殺毒軟件,策略我們沒法分開定制,沒有進行分組,但是同時間全盤掃描殺毒,統(tǒng)一時間攔截外網(wǎng)的信息,會造成三大環(huán)節(jié)出現(xiàn)高符合高復(fù)雜,這些在零售店的情況下可能還能夠容忍,但是在金融行業(yè)里面,在證券的里面,出現(xiàn)了網(wǎng)絡(luò)延遲、出現(xiàn)拒絕服務(wù),這個時候這個損失誰來承擔(dān)?所以說在虛擬機下面?zhèn)鹘y(tǒng)的防毒的問題,會造成防病毒的一個風(fēng)暴,這種對虛擬化是非常致命的,有廠商可以解決,采用傳統(tǒng)是不是不行,不建議這么做,但是你要堅持,現(xiàn)在知道所有的防毒里面會進行分組和策略掃描,在傳統(tǒng)的想法里面,認(rèn)為他的一致性在很短的時間就可以解決,我們要分開,防止統(tǒng)一時間進行安全策略的掃描。

APT的攻擊就叫高級的威脅,是企業(yè)最薄弱的環(huán)節(jié)采用一個最容易得手的方式,他后面有很多種方式,他一個公司的銷售可以拿到銷售的業(yè)績和銷售客戶的聯(lián)系方式,通過他的私人郵箱和微博和個人的東西,你可以拿到他的密碼,你可以進入公司企業(yè)里面數(shù)據(jù)的內(nèi)部,這種是長期的,是一種不被人發(fā)現(xiàn)的,可能你自己根本不知道遇到了這些問題,那么你的測試問題,虛擬化測試平臺,這種測試平臺一定要找到那些免罪金牌,對他進行完完全全的監(jiān)控,他發(fā)現(xiàn)他有連接的時候,你確確實實已經(jīng)遭受這種攻擊,而這種攻擊會造成大量的相應(yīng)機密的泄露。我不知道這個會場場上有多少,每一次在講的時候,講這個問題的時候,實際上廠商的朋友可能會,用戶的朋友是有好處的,選擇用戶的產(chǎn)品不建議這么做,我們整個通過他的數(shù)據(jù)掃描到中段,選擇同樣的產(chǎn)品他的策略相同,有可能在兩臺背對背服務(wù)器密碼都是相同的,那么第一個第二個背對背就沒有用了。

對于公司來說是這樣,對于IT管理人員來說,希望做的事情是更簡單,在交付這塊是實現(xiàn)更簡單,管理這塊實現(xiàn)更簡單,非常有名的一個圖,說明公司多么強大,這是做飛機一家公司的,這個公司有什么樣的方式,實際上我們需要這樣的圖嗎?我認(rèn)為不想這樣,我認(rèn)為一個復(fù)雜的事情能夠選擇簡單的方法是最重要的,不要把問題引出的更多。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號