3. 从你现有的安全工具入手,时刻保持审慎的态度
你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 没有这个必要。从你现有的安全工具(诸如目前物理服务器和网络设备所用到的工具)入手,将它们运用到虚拟环境中的做法会更有意义,赫夫说道。 但你要给厂商一点压力,让他们告诉你该如何密切留意虚拟化的风险,以及如何与其它产品同步前进。
"在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的认识"互联网数据中心的艾略特说道"市场上有些安全工具早就加入了虚拟化的概念。 这意味着你必须要给厂商更多的压力"。
"不要以为平台工具(比如VMware工具)对你来说已经足够"艾略特说道"你要把目光瞄向那些安全管理厂商。 给那些管理厂商多一点压力,让他们去多做一些,并为他们提供指引"。
马自达北美公司的首席信息官Jim DiMarzio就在他的企业中采用了这套战略。 如同Arch Coal公司一样,马自达北美公司在其虚拟服务器的核心上运行了VMware公司的ESX Server 3软件,并在最近增加了虚拟机的数量。 DiMarzio表示他希望在2008年3月前拥有150台虚拟机。他使用虚拟服务器来作为活动目录服务器、打印服务器、客户关系管理应用服务器和网络服务器 – 最后这项应用最具关键性,因为马自达使用这些网络应用来向其所有的经销商提供信息,DiMarzio说道。
为了保障这些虚拟机的安全,DiMarzio决定继续使用他现有的防火墙和安全产品,包括IBM公司的Tivoli Access Manager, 思科公司的防火墙工具(firewall tools),以及赛门铁克软件公司的入侵检测系统监控工具(IDS monitoring tools)。
在Arch Coal公司,阿本尼与他的团队也是坚持使用他们现有的安全工具,还有BlueLane 公司和虚拟化安全厂商Reflex Security公司的调研工具。"那些安全与变革厂商都在努力迎头赶上"阿本尼说道。
举例来说,BlueLane公司就宣称,他们的补丁仿真产品虚拟盾VirtualShield(针对VMware产品的虚拟设备版)甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全,自动扫描潜在的问题,对问题区域进行升级并保护它远离远程威胁的侵害。
虚拟化安全厂商Reflex Security公司的Virtual Security Appliance (VSA)也是少数需要引起关注的产品之一,它对虚拟入侵检测系统(IDS)尤其有用,在虚拟机所在的物理服务器中为其添加了安全协议层。 这可以防止系统管理程序免遭攻击同时避免将来可能产生的麻烦。阿本尼的团队表示。
阿本尼表示他的IT团队也讨论了添加第二个内部防火墙来进一步隔离虚拟机的事宜,但他担心这会对虚拟化应用软件的使用造成影响。
互联网数据中心的艾略特表示还有一些其它的虚拟化安全工具值得IT管理部门去关注: 比如PlateSpin就是一款著名的从物理机到虚拟机的工作负载转换和管理工具; Vizioncore是一款文件层次备份工具; Akorri是一款绩效管理和工作负载平衡工具; 而最近被戴尔公司收购的存储厂商EqualLogic以其iSCSI储存区域网络(SAN)产品来优化虚拟化而闻名。
4. 充分了解嵌入式管理程序的价值
或许你早已听说过"嵌入式"管理程序,这是IT管理人员必须了解的词汇。 服务器上的管理程序层是虚拟机的根基所在。 VMware公司近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的,不包含操作系统的应用。 (没有操作系统也就意味着没有操作系统维护上的麻烦)
像戴尔公司和惠普公司等硬件厂商近期都表示他们会在服务器出货时预装这种嵌入式VMwareHypervisor。 基本看来,嵌入式管理程序因为相对较小,所以更安全,互联网数据中心的艾略特表示。 "代码库越大,受攻击的可能性也越大,这由你选择的体系架构而定。"
嵌入式管理程序将会成为未来的一大发展趋势,艾略特表示,越来越多的服务器厂商会使用它们,有些厂商以前不使用的也会使用它们。美商凤凰科技公司(Phoenix Technologies)是一家BIOS软件领域的龙头厂商,近期它宣布加入管理程序的阵营,第一款产品将命名为HyperCore: 这是一款针对桌面型和笔记本电脑的管理程序,它能让用户在开机后就能使用网页浏览器和电子邮件客户端,而不需等到启动windows操作系统以后再这么做。 (HyperCore将会被嵌入到电脑的BIOS中。)
管理程序市场的竞争与创新对企业来说未尝不是一件好事,赫夫说道。 它能激励厂商争相提供体积更小、更为智能的管理程序软件。
"不管它是凤凰科技公司还是其它厂商,这场有趣的战争都会带领管理程序成为下一个卓越的操作系统"赫夫说道。
降低受攻击的可能性并非嵌入式管理程序的唯一强项。马自达公司的IT管理小组正期待即将到来的预置了VMware ESX server的戴尔服务器,马自达公司的IT系统经理Kai Sookwongse表示"我们所期待的功能之一是所有的虚拟机映像都能在存储区域网络上展现,当我们启动服务器时,它能从存储区域网络的映像上启动。这种集中管理与安全的方式也意味着马自达公司能够订购一台没有硬盘的服务器,从而达到物理安全的目的,他强调说。
5. 不要给虚拟机盲目指派过度的权限
务必牢记,在你对虚拟机指派管理级别的访问权限时,你就等于授权访问那台虚拟机的所有数据。 伯顿集团的沃夫建议你仔细斟酌管理人员需要哪些备份帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的,沃夫补充道。 "这些厂商甚至连自己没有遵照VMware公司关于VMware整合备份的最佳实践来执行"。
Arch Coal公司就对所有的虚拟机设置了管理访问权限,该公司的信息安全管理员保罗.泰利表示他的同事汤姆.卡特以及Carter的上司是公司中为数不多的拥有最高权限的管理小组成员之一。
应用开发员的访问权限要尽量降低。 "我们要么降低应用开发人员的访问权限,要么让他们进行共享访问,控制他们对操作系统的访问权限"Carter说道。 这帮助公司控制了虚拟机的增长速度,同时提高了虚拟机的安全系数。
6. 对供应存储多加观察
某些企业如今在存储区域网络上的存储使用有些过度,沃夫说。这不是总体存储量太多的问题,而是你有可能让一台错误的虚拟机共享了部分的存储区域网络,他说。
如果你使用的是VMotion,那么你就等于在存储区域网络上分配了部分区域。你要使那些储存分配更加区位化,沃夫建议道。 N-port ID虚拟化就是一种可以让IT分配存储到虚拟机上的技术,这是一种值得深入研究的技术,沃夫说道。