打破虛擬化停滯僵局 虛擬化安全3個因素

申請免費試用、咨詢電話：400-8352-114

（中國軟件網(wǎng)訊）虛擬化在IT領(lǐng)域中所覆蓋的范圍很廣。在“一個應(yīng)用，一個服務(wù)器”這一規(guī)則引領(lǐng)多年后，IT架構(gòu)的容量已經(jīng)不再能滿足需求，而且也不具有成本效益。隨著虛擬化的興起，以及在單個服務(wù)器上托管多個虛擬機(jī)的趨勢，很多與之相關(guān)的問題也顯現(xiàn)出來。

由于多個虛擬機(jī)可以放到單個服務(wù)器上，IT組織就可以確定該機(jī)器的處理能力被分配到了多個應(yīng)用上。通常以單個字節(jié)來衡量的利用率可增加到70%甚至更多，這樣就確保了高成本，低利用率服務(wù)器上的浪費情況比較少。

虛擬化的轉(zhuǎn)變也經(jīng)歷了所謂的“虛擬化停滯”。這是指許多企業(yè)在對25%的服務(wù)器完成虛擬化后，就停止了虛擬化的步伐。

當(dāng)你研究造成這種現(xiàn)象的原因時，通常回發(fā)現(xiàn)這種虛擬化只是將所有簡單的服務(wù)器進(jìn)行虛擬化操作(例如，dev機(jī)器或低風(fēng)險的內(nèi)部IT應(yīng)用，如DNS)但是沒能成功對其生產(chǎn)應(yīng)用進(jìn)行虛擬化操作。

造成這種停滯的原因很多，但是其中很重要的一點就是安全因素。安全團(tuán)隊不確定要如何將為物理環(huán)境設(shè)計的實例應(yīng)用到虛擬環(huán)境中。雖然存在這樣的疑惑，但是其方向還是明確的：安全實例必須得到更新以打破虛擬化停滯不前的僵局。

下面是虛擬化過程中，安全組織面臨的三個最常見問題：

1、網(wǎng)絡(luò)流量可視性的缺乏

許多安全組織用監(jiān)控網(wǎng)絡(luò)流量的方式來識別和攔截惡意流量以及滲透。供應(yīng)商也發(fā)布了專用裝置來執(zhí)行監(jiān)控以減輕安裝和配置過程中的壓力。將這些裝置安裝到網(wǎng)絡(luò)上就如同安裝到另一個服務(wù)器上一樣，只需啟用這些裝置然后以小時或以日為單位來運行。這種方法簡化了安全實例的執(zhí)行過程，而且是硬件受限的安全團(tuán)隊和IT運營團(tuán)隊的福音。

只是，這種方法在虛擬環(huán)境的應(yīng)用還存在一個問題。同一個服務(wù)器上的不同虛擬機(jī)都是通過hypervisor的內(nèi)聯(lián)網(wǎng)來溝通，安全裝置所在的物理網(wǎng)絡(luò)上沒有數(shù)據(jù)包傳輸。當(dāng)然，如果虛擬機(jī)被放置到不同服務(wù)器上，那么內(nèi)部虛擬機(jī)流量就會在其網(wǎng)絡(luò)上傳輸，從而可以被檢測到。不過，出于性能方面的考慮，與相同應(yīng)用相關(guān)聯(lián)的虛擬機(jī)(例如，一個應(yīng)用的Web服務(wù)器和數(shù)據(jù)庫服務(wù)器)通常都位于同一個物理服務(wù)器上。

幸好，供應(yīng)商已經(jīng)想到辦法解決這個問題。虛擬化供應(yīng)商已經(jīng)在其hypervisor中放入了hook，而思科和Arista等網(wǎng)絡(luò)供應(yīng)商已經(jīng)習(xí)慣將其與虛擬機(jī)合用，以此實現(xiàn)流量監(jiān)測。所以，這個問題也變得不再糾結(jié)，盡管它要求升級到目前的網(wǎng)絡(luò)交換方法，而且安全產(chǎn)品也要較新的模式。你可以將這話理解為需要更多的資金投入。不過，單單缺乏可視性還不足以讓企業(yè)推遲生產(chǎn)應(yīng)用的虛擬化操作。

2、性能對安全經(jīng)費的影響

在單個服務(wù)器上支持多個虛擬機(jī)的好處對于服務(wù)器制造商而言已經(jīng)變得非常明顯，他們也隨之修改了自己的服務(wù)器設(shè)計。和以前能支持五個虛擬機(jī)的的1U機(jī)器不同，現(xiàn)在的4U刀片服務(wù)器具備幾百G的緩存和大量網(wǎng)卡。因此，服務(wù)器現(xiàn)在通?？芍С?5或50個虛擬機(jī)。成本效益和利用率非常高，但是在單個服務(wù)器上托管如此多的虛擬機(jī)也可能導(dǎo)致其他問題。

每個服務(wù)器只管理自己的安全產(chǎn)品，由此便導(dǎo)致了一些常見問題。典型的例子就是反病毒。在許多IT組織中，每個服務(wù)器都是同時更新自己的反病毒簽名，這樣就導(dǎo)致25或50個虛擬機(jī)同時發(fā)布相同操作。所以會導(dǎo)致傳輸量降低，從而影響服務(wù)器性能。

幸好，有新的技術(shù)性方案可用。第一，就好比虛擬化供應(yīng)商開放API，允許網(wǎng)絡(luò)供應(yīng)商整合到hypervisor，他們現(xiàn)在也開放了API讓安全公司推出不需要安裝到每個虛擬機(jī)上的新產(chǎn)品。相反，這類產(chǎn)品本身就是虛擬機(jī)。

當(dāng)hypervisor意識到流量需要調(diào)用一個反病毒項目的時候，就會把調(diào)用轉(zhuǎn)發(fā)到虛擬機(jī)的反病毒軟件上，再由虛擬機(jī)執(zhí)行掃描。這樣就避免了25臺機(jī)器同時進(jìn)行反病毒操作，一臺虛擬機(jī)代表25臺機(jī)器運行反病毒顯然是更好的方法。

或許你猜得到第二個方法是以云為基礎(chǔ)。類似對文檔的重復(fù)反病毒掃描等操作需要發(fā)布成千上萬個反病毒簽名文件，為什么不讓上百萬端點調(diào)用一個位于中央位置的以云為基礎(chǔ)的方案呢?供應(yīng)商可以確保其有足夠的資源來控制流量，而用戶則可以避免性能方面的問題，且不需要在安全軟件方面投入更多資本。這種方法帶來了顯著效益，而且我們在不久的將來會聽到更多以云為基礎(chǔ)的安全方案。

3、周邊被破壞

一月在華盛頓特區(qū)召開的安全威脅會議上談到的一個主題就是認(rèn)為自己的周邊不會被滲透的想法是愚蠢的。有組織犯罪團(tuán)體的崛起以及幕后有政府支持的黑客都使得這種定向攻擊極其復(fù)雜。

互聯(lián)網(wǎng)安全聯(lián)盟CEOLarryClinton提供了一些有關(guān)安全威脅及其影響的統(tǒng)計數(shù)據(jù)，統(tǒng)計結(jié)果令人感到害怕。簡而言之，目前的安全方法都不能滿足需求。不法分子可以安裝長期運行的僵尸程序，令其對服務(wù)器的數(shù)據(jù)進(jìn)行篩選，從而識別和竊取重要數(shù)據(jù)。也可以理解為我們所說的APT。

那該如何是好?

當(dāng)然，可以整合專門的安全產(chǎn)品層來解決APT威脅。新舊供應(yīng)商都想向你售賣針對APT的安全產(chǎn)品。筆者并非貶低這些產(chǎn)品，只是這類威脅會增加安全實例在個人服務(wù)器或VM級別(換言之是安全在實例級別)的重要性，你應(yīng)該進(jìn)行整體監(jiān)控并使用入侵防御系統(tǒng)。

將這些產(chǎn)品都放到一個虛擬機(jī)上與“把安全放到虛擬機(jī)外”的方法不相符，當(dāng)然，也有更好的想法：只能在機(jī)器上執(zhí)行的安全應(yīng)該位于機(jī)器上，同時可通過若干機(jī)器共享的安全應(yīng)該遷移到中心位置。安全工作向來就是平衡各方面的利弊。

小結(jié)：虛擬化經(jīng)濟(jì)意味著這種運算模式有望得到廣泛傳播，想要阻止這種趨勢的人猶如螳臂當(dāng)車。