云计算与虚拟化环境威胁应对

由中国计算机用户协会、中国互联网协会指导、比特网和IT专家网主办、比特CIO俱乐部承办的第五届中国CIO年会,在国家会议中心隆重开幕。本次年会主题定位在“新技术浪潮下的IT变革”。聚焦热点技术,关注企业应用,引领IT变革。在今年被广泛关注的云计算新技术上,如何把云技术延伸到企业级的应用是个热点,在下午云计算专题论坛上,来自国内云计算相关领域的业内专家及从业技术负责人,以及制造业、教育业、互联网等方面的CIO在此次论坛中一起探讨云时代的企业发展新趋势与机遇。以下为荣新IT培训首席信息官张琦的大会实录:

荣新IT培训张琦:云计算与虚拟化环境威胁应对

荣新IT培训机构的首席信息官张琦在云计算分论坛里做了主题演讲

张琦在发言中提到,私有云为何而来?这个话题咱们把云抛开,先看看管理的一个场景,那么我们有一个同学,有一个学员也是在视频的网站,后来两家网站合并了,成了比较大的视频网站,他现在服务器的容量,虚拟化之前两千九百台,虚拟化之后一千八左右,两家公司合并大家自己算,这算是虚拟化最大的一个数据中心,数据虚拟化一个百分比达到了80G,这个是国内已经最高了。那么,我们占在这些主机的面前,在想虚拟化,想着为什么来实现虚拟化,为什么要建立一个私有云?因为我们在原来会有很多成本,会花在买基础的硬件上,构建一些软件的创新上面,这个时候大家会发现我们的成本比例跟现在不太一样,虚拟化之后的比例不太一样,虚拟化之后我们看到我们会把很多的钱拿出来做创新,这也是大家想老板在想,所以你跟他只要去谈,我们能得到什么样的收益,那么这个虚拟化项目,或者私有云的项目会被他很容易的所接纳,但是实际上并不是这样,我们实际上把这个钱花到了认为是虚拟化能够带的利益里面,把前期的设备投进去了,但遇到了更多的问题,就是运维管理和安全管理的成本问题。

在一些企业当中,尤其是一些几年前在做游戏的公司,他们消耗的IT成本在哪?90%消耗在运维的部分,这些成本拉动了,应该是拖住了企业创新的步伐,也就是说我用一个例子,大家说虚拟化云计算,那么会很节省人力,那么节省人力为什么这么多的公司在招IT运维管理人员?很简单我们可以看到互联网你招很简单的,就是这种大一点的运营公司。你可以发现他,他招监控的人一招是50、100,这个例子对我们特别好,因为我们做培训很容易人员就出去了,60%以上花在了运维这块。

但实际上云平台能给大家带来什么样的优势呢?全新的交付后来也会讲,这些交付这面的数据中心不说,几年前大家一说就是奔亦庄走,这些交付流程多么复杂,可能你从来没有细细的自己去数,他有几十个环节。再一个就是竞争的运维方式,集中化管理,我们想一个问题,前几天做的,做的一个策划案是谁的?也别说公司名称了,他们在做高档的家具一体化的服务营销,全国应该有29家或者到30家,他们会每个门店做什么呢?做桌面虚拟化,他想的是把所有的这种桌面的系统,集中到总部或者说门店的服务器当中,做完虚拟化以后减少运维的这种管理的成本,实际上他在做的时候会做到很多意想不到的问题,会有新的方案来解决,但是我们不可否认,真正把所有的数据集中到一起管理的时候,他只要能够提供安全、稳定、高效这三个环节如果你能够满足,他确确实实是完成了一种质的飞跃,是在整个IT运维历史上一种从未有过层面。

我们举一个电源的例子,企业IT运维原来有需要20个电源,五台服务器,咱们现在算十台,一台服务器两个,十台服务器二十个电源,后来签到一个虚拟机上有两个电源就可以,服务器利用会提到80%以上。原来服务器单独购买一台,如果是光口会买一个光传输的,为这些服务器在虚拟化之后,实际上这台服务器已经原原本本的放在那里。

虚拟化过程当中,虚拟化可以直接迁移的,有的IT管理人员不能说出自己出问题的服务器在哪个主机上?当然你有一台的肯定在这个上,但是很大的一个里面,具体在哪真的说不清,有些说的省电,虚拟化省电的时候会把这些负载不高的服务器迁移到另外一个服务器上面,然后这台服务器在晚上的时候,关闭状态,但是你牵回来之后出现问题了,操作认为失误或者没按标准流程走,会找不到出现问题的服务器是哪一台。

所以,虚拟化如果是讲安全,讲私有云的安全,我们做虚拟化这种安全管理的时候,要把他剥离开,就是传统的和虚拟化还是要分离,因为有些安全的文化不要混淆到虚拟化之后,这个文化根本不靠边,靠边的话在之前就很好的解决,我们把这个盖把他摘了。

这里没有虚拟化,这也是虚拟化遇到的一些问题,我们有这么一复牌,这里有很多的问题很多威胁,还有很多厂商提供他所对应的方案,这些方案和我出现的问题,我自己都没办法理清楚,哪类是哪类,哪种是哪种,那些问题应该对应那种解决方案,现在如果把花色给理出来呢?我们黑色的是问题,然后我们红色的代表我们的配套的解决方案跟产品,这样可以解决,首先先理清楚你遇到哪些威胁,有哪些方案可以解决你的威胁,他虽然不是一一对应的,但是有问题,终究可以有解决的方法,为什么玩斗地主喜欢在电脑上,因为电脑帮你理好牌。

虚拟化之前没有解决好的一个案例,这张图用了很多次,在不同的演讲在做一些具体培训,这张图几年前在用,到现在依然喜欢,在很早以前,我们在讲安全的时候会讲密码,密码的安全策略决定你一个企业当中是否会造成数据泄露和病毒攻击,建议这些使用者不要把密码贴在自己的显示器上,不要把他自己的生日,把电话号码当成这种密码,几年之后这种方式有了很好的改变,但是这种案例,我们在云端的管理员是否有一个密码,这个密码只有一个人掌握,或者说我们只要使用这个密码,一个人就能整个来获得整个超级管理权限,我咨询了很多了解了很多,确确实实依然还采用一个管理员就能利用超级密码,可以控制所有的这种服务器或者其他的资源,我们可能也知道,有一个密码本,密码本可以通过另外的二层加密然后打开密码本,在用密码本登录我们不同业务部门的服务器,这是最不安全的。

我们单独讲虚拟化的层面的问题,有很多的问题,什么网络的隔离问题,管理复杂问题,最重要的是虚拟化的交换机,就是没有通过你的交换机通口到外面去,所以问题在这,怎么解决他的不可见,有厂商在回去查没问题,流量要解决的问题,这是内部的。

服务器层面就更多了,先说免罪金牌,测试服务器和生产服务器,如果之前说了没法进行隔离,之间可以交叉感染,测试服务器是不是可以不装杀毒软件,大部分是不装的。再有一个我们管他为什么叫免罪金牌,我临时使两天,你要多大,50个G,要发布吗?肯定要发布,什么安全措施都没有,这段时间是最危险的,但他确实是,通常是允许这样,但一个虚拟机内部的扫描风暴,扫描风暴和后面三个问题是一样,是怎么产生?还拿开始的那个例子说,建家具的零售店,一个店里拿50台主机,分配一个服务器做虚拟化,每一个中段按杀毒软件,策略我们没法分开定制,没有进行分组,但是同时间全盘扫描杀毒,统一时间拦截外网的信息,会造成三大环节出现高符合高复杂,这些在零售店的情况下可能还能够容忍,但是在金融行业里面,在证券的里面,出现了网络延迟、出现拒绝服务,这个时候这个损失谁来承担?所以说在虚拟机下面传统的防毒的问题,会造成防病毒的一个风暴,这种对虚拟化是非常致命的,有厂商可以解决,采用传统是不是不行,不建议这么做,但是你要坚持,现在知道所有的防毒里面会进行分组和策略扫描,在传统的想法里面,认为他的一致性在很短的时间就可以解决,我们要分开,防止统一时间进行安全策略的扫描。

APT的攻击就叫高级的威胁,是企业最薄弱的环节采用一个最容易得手的方式,他后面有很多种方式,他一个公司的销售可以拿到销售的业绩和销售客户的联系方式,通过他的私人邮箱和微博和个人的东西,你可以拿到他的密码,你可以进入公司企业里面数据的内部,这种是长期的,是一种不被人发现的,可能你自己根本不知道遇到了这些问题,那么你的测试问题,虚拟化测试平台,这种测试平台一定要找到那些免罪金牌,对他进行完完全全的监控,他发现他有连接的时候,你确确实实已经遭受这种攻击,而这种攻击会造成大量的相应机密的泄露。我不知道这个会场场上有多少,每一次在讲的时候,讲这个问题的时候,实际上厂商的朋友可能会,用户的朋友是有好处的,选择用户的产品不建议这么做,我们整个通过他的数据扫描到中段,选择同样的产品他的策略相同,有可能在两台背对背服务器密码都是相同的,那么第一个第二个背对背就没有用了。

对于公司来说是这样,对于IT管理人员来说,希望做的事情是更简单,在交付这块是实现更简单,管理这块实现更简单,非常有名的一个图,说明公司多么强大,这是做飞机一家公司的,这个公司有什么样的方式,实际上我们需要这样的图吗?我认为不想这样,我认为一个复杂的事情能够选择简单的方法是最重要的,不要把问题引出的更多。