服務(wù)器虛擬化值不值得企業(yè)去選擇

申請免費試用、咨詢電話：400-8352-114

作為系統(tǒng)和數(shù)據(jù)中心的一個重要組成部分，服務(wù)器虛擬化領(lǐng)域正處于高速成長的階段。但是，服務(wù)器虛擬化會給已經(jīng)十分復(fù)雜的現(xiàn)有安全環(huán)境帶來更多的漏洞。這是不是真實的情況？服務(wù)器虛擬化是否會增加公司面臨的風(fēng)險？如果答案是肯定的話，與獲取的價值相比，付出的代價是否值得讓我們選擇接受服務(wù)器虛擬化？

為什么要選擇服務(wù)器虛擬化？

當(dāng)基于微型計算機技術(shù)的服務(wù)器開始取代大型主機，并開始成為業(yè)務(wù)信息處理系統(tǒng)核心的時間，微機技術(shù)的發(fā)展是遠遠落后于當(dāng)前時代的。微軟等公司為了確保用戶得到預(yù)期性能同時降低系統(tǒng)不兼容帶來的風(fēng)險，給出的建議是在每臺服務(wù)器上安裝單獨的解決方案。對于數(shù)據(jù)中心來說，這種方法盡管是有效的，但卻意味著出現(xiàn)了數(shù)以百計的單一用途服務(wù)器。

隨著服務(wù)器數(shù)量的增加，管理上的難度就變得越來越大。此外，由于硬件技術(shù)的飛速發(fā)展，加上服務(wù)器的更新?lián)Q代，導(dǎo)致數(shù)據(jù)中心的服務(wù)器資源經(jīng)常得不到充分的利用。這種情況下，服務(wù)器虛擬化技術(shù)產(chǎn)生就成為理所當(dāng)然的事情了。

開始時，服務(wù)器虛擬化技術(shù)的發(fā)展速度并不快，感覺上就象是在公園里隨意漫步。但隨著時間的推移，它逐漸成為了很多服務(wù)器解決方案的核心。根據(jù)來自信息安全風(fēng)險管理公司Foundstone的威廉·郝和魯?shù)婪颉ぐ诨舻挠^點：

最近一屆[虛擬化]行業(yè)峰會吸引了超過一萬人參加，并且就Java和Linux操作系統(tǒng)在虛擬化環(huán)境下的應(yīng)用達成了一致。

[…]

服務(wù)器和桌面虛擬化已經(jīng)不再僅僅是一個時髦的詞語，而是成為了現(xiàn)實的技術(shù)，對于公司用戶來說，可以作為確定的信息技術(shù)給予利用。

之所以選擇虛擬化技術(shù)，是因為它可以幫助公司解決在使用服務(wù)器時出現(xiàn)的很多常見問題，其中包括了：

硬件分享。多臺虛擬服務(wù)器可以共享來自同一硬件平臺上的所有資源，從而在最大限度上提高公司投資的利用率。

避免了底層硬件在兼容性方面出現(xiàn)問題。虛擬服務(wù)器技術(shù)可以為使用者建立專門的虛擬服務(wù)器環(huán)境。這樣的話，供應(yīng)商和商業(yè)用戶的應(yīng)用程序和操作系統(tǒng)就不必擔(dān)心在部署一個解決方案的時間，會由于硬件不兼容而出現(xiàn)各種各樣的問題。

安全日志記錄。虛擬化管理軟件或虛擬機管理器（VMM），會記錄下在客戶虛擬環(huán)境下發(fā)生的破壞事件。因此，即使虛擬機中的日志被破壞或者修改，虛擬機管理器的日志依舊是安全的，不會受到影響。

通過標準鏡像啟用服務(wù)器。只要按照恰當(dāng)?shù)幕A(chǔ)安全標準進行設(shè)置、安裝好補丁，并對使用環(huán)境進行了配置，就可以建立一臺虛擬服務(wù)器，并且公司還可以把它作為一個標準鏡像保存起來。在需要恢復(fù)或者創(chuàng)建同一類型（舉例來說電子郵件、數(shù)據(jù)庫、文件和打印等方面）的其它服務(wù)器時啟用。

確保運營業(yè)務(wù)可以快速恢復(fù)。如果出現(xiàn)硬件損壞或者虛擬服務(wù)器當(dāng)機的情況，只要重建環(huán)境的存儲虛擬映像就可以快速恢復(fù)業(yè)務(wù)運營。并且由于虛擬機是基于抽象的硬件無關(guān)性，所以，一臺后備服務(wù)器就可以恢復(fù)不同硬件平臺上的業(yè)務(wù)運營系統(tǒng)，而不必擔(dān)心出現(xiàn)硬件兼容性的問題

· 安全測試。對于安全管理來說，為服務(wù)器和網(wǎng)絡(luò)操作建立安全規(guī)則是相當(dāng)大的一部分工作。而利用虛擬服務(wù)器對安全規(guī)則進行測試就是一種很好的方法，快速建立一臺虛擬服務(wù)器，運行需要的測試，獲得必須的數(shù)據(jù)后就可以直接關(guān)閉它。

虛擬化技術(shù)會帶來什么樣的風(fēng)險？

和其它任何新技術(shù)一樣，虛擬化技術(shù)也需要我們改變對信息基礎(chǔ)設(shè)施的管理方式。作為IT經(jīng)理應(yīng)該了解，采用虛擬化技術(shù)的話會在三個方面帶來潛在的風(fēng)險，它們是：擴大的數(shù)量、網(wǎng)絡(luò)基本要求發(fā)生變化以及進行回滾操作時會出現(xiàn)漏洞缺陷。

對于工程師來說，虛擬服務(wù)器可以方便地部署既是優(yōu)點，也是缺點。傳統(tǒng)服務(wù)器部署的時間需要購買或者選擇現(xiàn)有硬件設(shè)備的閑置部分。從管理的角度來看，這樣的過程很容易進行控制。但虛擬化技術(shù)改變了一切。

而今天，工程師們只要選擇相關(guān)的鏡象就可以創(chuàng)建基于任何虛擬化硬件平臺的虛擬服務(wù)器。不必投入任何資金他們就可以方便的作到這一點。這就意味著，有更多服務(wù)器需要進行管理。安全分析師和審計師等工作人員需要監(jiān)控的數(shù)量也大大上升了。

在配置安全和性能監(jiān)控解決方案的時間，需要事前確定保證網(wǎng)絡(luò)穩(wěn)定的基本要求。但由于建立關(guān)閉用來測試基本要求所需服務(wù)器的時間，可能導(dǎo)致基本要求出現(xiàn)混亂。這包括了已經(jīng)建立的基本要求，所以就可能導(dǎo)致監(jiān)測結(jié)果不可靠之類情況出現(xiàn)。

最后，當(dāng)利用虛擬鏡象進行虛擬服務(wù)器回滾操作的時間，更新的補丁可能出現(xiàn)問題，服務(wù)器返回時間存在問題可能導(dǎo)致補丁失效。舉例來說，服務(wù)器返回的時間可能是在安全補丁發(fā)布之前。

所有這三方面的風(fēng)險，都是由于服務(wù)器管理模式變化引起的。調(diào)整管理方法（也就是改變管理策略和方式），是保證虛擬化安全的第一步。為了保證安全，降低風(fēng)險，公司必須對管理策略進行改進。

現(xiàn)在，我們來了解一些常見類型的漏洞，以及它們是采用什么方法對虛擬環(huán)境進行攻擊的。

包括藍色藥丸（Blue Pill）、SubVirt和Xensploit在內(nèi)的概念攻擊已經(jīng)證明虛擬機存在獨特的安全漏洞。不過，目前并沒有發(fā)生過實際的攻擊。此外，防惡意軟件工具的供應(yīng)商也都在極力提高產(chǎn)品性能，以便對這種類型的感染進行檢測。（邁克菲提供的TotalProtection虛擬化解決方案就包含了這種功能）。實際上問題的底線在哪里呢？對于虛擬化技術(shù)來說，安全的常識和信息都是有效的，關(guān)鍵在于設(shè)計合理控制得當(dāng)。盡管技術(shù)可能是新類型的，但安全保護的基本原則并不會改變。

結(jié) 論

因此，是否值得冒險選擇虛擬化技術(shù)呢？答案是肯定的。得到適當(dāng)管理的虛擬化技術(shù)帶來的好處遠遠大于任何想象或者實際的危險。具體來說，就是通過適當(dāng)?shù)墓芾泶胧┛梢詫⒃摷夹g(shù)帶來的額外風(fēng)險降低到最小的程度，而同時在業(yè)務(wù)連續(xù)性和投資回報率方面改善帶來的好處是非常顯著的。因此，選擇虛擬化技術(shù)是一件非常值得的事情。（來自互聯(lián)網(wǎng)）