虛擬化技術對中小企業(yè)來說是個福音;但要是各種各樣的問題經(jīng)常出現(xiàn),這項技術也可能是個負擔。與實施任何IT技術一樣,采取積極主動的做法遠比采取消極被動的做法要好得多,而且常常更省錢。了解一些常見問題(如下面概述的這些問題)可以幫助企業(yè)避免犯同樣的錯誤。
未能將安全最佳實踐轉(zhuǎn)移過去
BeyondTrust公司的首席運營官Brian Anderson強調(diào),虛擬機管理程序?qū)訋砹艘粚有碌能浖枰扇∨c服務器本身一直以來采取的同樣的許多安全防范措施。但是企業(yè)常常沒有通過虛擬化項目,將已經(jīng)為單臺服務器落實的安全最佳實踐轉(zhuǎn)移過去。他說:“在如今的大多數(shù)虛擬化環(huán)境下,IT人員可以將數(shù)據(jù)裝入到虛擬機管理程序上,因而很容易獲得沒有限制、未加監(jiān)控的訪問權,從而在不被察覺的情況下,竊取整個數(shù)據(jù)庫的內(nèi)容,而在傳統(tǒng)環(huán)境下這根本不可能。”
Anderson建議,為了避免這個問題,企業(yè)需要將針對傳統(tǒng)服務器實施的同樣的最佳實踐、安全政策和治理流程轉(zhuǎn)移過去,將它們實施到虛擬機管理程序?qū)由?。這些最佳實踐當中有一部分需要為特許訪問制定政策和流程(想了解更多信息,請參閱附文《首要問題:忘了特許訪問政策》)、監(jiān)控虛擬機管理程序上的用戶行為以及將識別可疑行為的工具落實到位。
企業(yè)忍不住減少安全預算
據(jù)Anderson聲稱,上馬虛擬化項目的動因常常是需要降低成本,因為企業(yè)可以顯著減少所要采購和維護的硬件數(shù)量。“現(xiàn)在的情況是,許多企業(yè)希望同時能夠縮減安全成本,與硬件成本減少的現(xiàn)狀相一致,實際上安全預算需要增加,以保護額外的軟件層。”
Anderson發(fā)現(xiàn)虛擬化項目經(jīng)常犯的最大錯誤在于,安全預算減少后,保護力度就隨之喪失了,因為許多人認為,安全成本應該與硬件成本保持同樣的正比關系。他建議而是應該增加安全預算,防止棘手的安全問題在虛擬化技術實施后出現(xiàn)。
不顧出現(xiàn)虛擬機散亂的風險
Layer 7 Technologies公司的首席技術官Scott Morrison表示,虛擬化技術方面一個重大又很常見的問題是虛擬機散亂。他說:“創(chuàng)建新的虛擬機變得非常輕而易舉。然而,虛擬機占用非常龐大的磁盤空間,而且常常只有一個文件名來識別它們是什么。”
他補充說,連偶爾在筆記本電腦上進行虛擬化的人也很快遇到了這個問題?,F(xiàn)在市面上出現(xiàn)了對付虛擬機散亂的管理工具,IT經(jīng)理們應該調(diào)查研究一下這些工具是否適用于自己的環(huán)境。Morrison補充說,另外,實施速帶重復數(shù)據(jù)刪除技術的存儲解決方案對于削減虛擬映像的存儲成本具有巨大影響,因為映像之間的實際差異通常非常小。
摸清存儲需求
Sentilla公司的首席技術官兼聯(lián)合創(chuàng)始人Joe Polastre表示,許多企業(yè)低估了虛擬化技術給存儲帶來的影響,特別是給存儲區(qū)域網(wǎng)絡帶來的影響。他強調(diào),對于存儲更高的需求常常導致企業(yè)投入大筆資本來購置存儲系統(tǒng),而且缺少滿足這些存儲機柜所需要的電量。
為了防止存儲問題,企業(yè)應該關注專門應用于管理型環(huán)境而設計的存儲系統(tǒng)。
運行中虛擬映像之間的隔離
Morrison強調(diào),企業(yè)試圖實施虛擬化技術時,運行中虛擬映像之間的隔離會成為一大問題。他補充說,網(wǎng)絡工程師們非常擅長使用物理網(wǎng)絡基礎設施、硬件和虛擬局域網(wǎng)(VLAN)來建立信任區(qū),但是在龐大的虛擬化環(huán)境下,這個過程卻不大簡單。
他說:“建立虛擬網(wǎng)絡的工程師常常與建立物理網(wǎng)絡的工程師不是同一批人,前者常常使用全然不同的工具和后者并不熟悉的模式。這就導致了網(wǎng)絡安全和服務級別協(xié)議(SLA)等方面存在不連貫性。隨著虛擬網(wǎng)絡變得日益流行、日益復雜,這會成為一個越來越嚴峻的問題。”
可以采取一些預防措施,比如對現(xiàn)有的工程師進行虛擬網(wǎng)絡方面的培訓,那樣不至于在物理網(wǎng)絡方法與虛擬網(wǎng)絡方法以及工作人員彼此之間形成分歧。還有一些技術解決方案有助于在信任區(qū)之間建立應用層隔離。
根據(jù)技術而不是根據(jù)人來選擇解決方案
Morrison表示,選擇虛擬化解決方案方面的最大問題不是技術問題,而是人員、政策和流程等問題。他認為,企業(yè)往往忽視了現(xiàn)有的顧問班子,倉促上馬虛擬化技術。
他說:“給新的虛擬化小組配備人員很常見,這些人的角色和職責與現(xiàn)有人員的角色和職責重復,但側(cè)重于新的虛擬化環(huán)境。盡管這很好,因為它打破了現(xiàn)狀,可以給IT帶來新的靈活性,但是會在現(xiàn)有的人員當中引起問題,而且常常危及安全、SLA、最佳實踐和工作流等方面現(xiàn)有的良好流程和政策。”
他建議企業(yè)應根據(jù)需要來配備人員,同時利用現(xiàn)有的人員來開展更龐大的虛擬化項目。他表示,網(wǎng)絡工程師可能認為虛擬化是個威脅,因為它簡化了物理布線;但是如果他們能了解虛擬化技術、為虛擬化網(wǎng)絡帶來傳統(tǒng)的嚴格管理,也會把這項技術視作是職業(yè)生涯的發(fā)展機會。
首要問題:忘了特許訪問政策
BeyondTrust公司的首席運營官Brian Anderson強調(diào),當企業(yè)對不大重要的服務器進行虛擬化處理時,安全問題顯得不大重要。然而,許多企業(yè)現(xiàn)正在對最敏感的服務器進行虛擬化處理,卻沒有實施相應的工具以便管理員訪問。
他說:“從特許訪問的角度來看,這個問題還會因下面這個事實而更棘手:高度虛擬化的環(huán)境往往為每一個管理員授權,以便可以訪問更多的虛擬服務器,而之前可以訪問的物理服務器數(shù)量比較少。允許訪問更多的機器帶來了更大的風險;最佳實踐政策和流程也沒有及時跟上后,就很危險了。”
Anderson建議企業(yè)應該為管理員落實控制措施,確保沒有什么不在企業(yè)政策和政府法規(guī)的許可范圍之內(nèi)。