在目前的经济形势下,大多数IT企业都开始加快部署服务器虚拟化的脚步,以此来作为降低总体拥有成本,削减能耗支出和跟上竞争对手发展步伐的手段。服务器虚拟化的使用范围日益扩大,已经不再局限于IT运作,而是对整个IT业务产生了更加广泛的影响。虚拟化技术开始直接影响到整体的管理模式,并对控制,流程和系统提出了新的要求。尽管虚拟化技术在数据中心内的使用规模还比较小,影响力也比较有限。但随着虚拟化规模的增长,这种技术会对整个业务产生影响。
本文着重探讨了这种全新架构对数据中心和业务控制的影响,向读者推荐能帮助虚拟化技术更加高效所需的新的政策,制度和控制流程。
对数据中心的影响
首先,大多数数据中心管理者认为,他们可以用管理物理服务器一样的方式来管理虚拟机,但实践证明这是根本不可能的。虽然这两种环境之间有很多共同点,但也有一些显著的差异。
虚拟化技术对现有控制过程和程序的潜在影响是最大的分歧之一。举例来说,每家数据中心在涉及新的服务器配置时都会有具体的过程和程序,这些通常涉及各个数据中心团队之间的工作移交,最后才能完成数据中心内新服务器的安装工作。
但是当你创建一个新的虚拟机时,表面上的过程是轻点鼠标-然后从模板中复制一个现成的虚拟机或者生成一个新的虚拟机,这些过程很容易就能绕过去。
当你对特定的服务器生成10个完全相同的副本并且在企业内部进行分配,对这些副本进行跟踪是你必须面对的挑战。由虚拟化供应商提供的管理系统将告诉你指定的虚拟机现在在哪,但用户对指定虚拟机与其他虚拟机之间的关系和他们的实际位置却无从了解。在虚拟机配置完成后他们可以在环境周围进行迁移。这种过程不仅使虚拟机更难被跟踪和管理,而且还会威胁到数据/应用程序分区政策的安全。
目前虚拟环境中运行的数据中心管理工具是很难解决这些区别和其他问题的,这就给虚拟化环境中留下了潜在的盲点。这也进一步加剧了虚拟管理工具,报告和自动化特性的匮乏。最终的结果是一个非常人工的环境无法与现有的数据中心法规遵从和控制模式相融合。
这意味着,传统的"小红旗"或报警系统在虚拟化领域可能已经无法正常发挥作用,因为他们要么被规避,要么在日常运作中被忽略,让你的数据中心暴露在危险之中。
在由各种关联系统,流程和制衡所组成的物理数据中心中,如果有任何状况脱离了正常流程之外就会被插上小红旗。管理则是个例外,在当今规则下管理环境被看做是"没有消息"就是真正的"好消息"。
但在由人工控制和报告匮乏占据主导地位的大环境下,控制能见度的缺乏会导致你对即将发生的问题视而不见。当虚拟化应用环境规模还比较小时,这可能不会是太大的问题,但随着虚拟化应用环境的发展-这种问题的影响也会日益凸显。
对业务控制的影响
随着虚拟环境的发展,自动化控制的缺乏和逐渐增多的人工活动在IT应用与审计业务之间开始引发失衡,并且随着虚拟环境的发展而与日俱增。
采用综合CRC模型(即监管,风险管理及法规遵从三个词汇的缩写)(图1)你可以更为清晰的看到这些对业务控制系统的影响。虚拟环境中自动化控制,监管和连续测算的缺乏以及手动流程的相应增长使得虚拟环境与物理环境相比,控制的有效性更差,而风险却更高。
当虚拟环境规模较小而且内容有限时,不会造成太大影响,但随着虚拟环境的发展,局势迅速发生了变化,最终导致整个系统的严重失衡。
GRC系统模型失衡的越明显,对整体业务造成的影响就越大。
每个企业各自的"临界点"会有所不同,但迟早都会达到,届时企业开始看到相应的成本和风险与日俱增:不少企业已经开始将这部分计入超出计划的IT支出,这些支出是由于效率低下的虚拟环境而产生的。其他人也会看到有形和无形数据中心事故数量的不断攀升,所有这些都将最终影响到整体业务的运转。
需要额外的政策
大量现有的业务和风险政策和控制目标仍然适用于虚拟环境。他们可能需要进行调整来灵活适应这种全新的体系架构,但它们仍然适用。这些政策包括对所有服务器(无论是物理还是虚拟的)都通用的基本要素,诸如配置,补丁管理和安全。
然而虚拟化技术也有其专门需要的全新政策和控制措施。这些措施包括:
•身份管理:鉴于虚拟机的灵活性特点,不是以简单的命名惯例为基础的一定级别的身份管理协议是必要的,同时还要确保这些政策得到正确的应用。
•虚拟机的流动性控制:虚拟化带来的灵活性是它提供给IT部门的价值所在。虚拟机的设计非常灵活,并且可以轻松的实现从主机到主机的迁移,以此来响应自动化需求(负载平衡)或在必要时手动进行(比如需要维修时从物理主机上删除虚拟机)。但流动性也是一把双刃剑,因为并非所有的虚拟机都需要流动。举例来说:你想控制(并非出于审计目的的控制)任何符合规定或企业内部标准的应用程序。围绕指定虚拟机制定的政策是否应该允许政策的运行呢,虚拟机应该有多长时间应该离线呢?
•配置: 传统的服务器配置流程在虚拟化环境中可以很容易地被规避,因此需要建立新的流程来控制虚拟机的配置和判断是否应该授权新的服务器。
•数据分离: 每个数据中心都有围绕数据分离所制定的具体规则,这些通常会受到安全问题或法规遵从问题的影响。当你根据这些标准对应用软件部署虚拟化,将如何执行虚拟化部署这一点考虑在内是非常重要的,不仅是在虚拟机配置时需要注意,而且在整个生命周期内都要防止错误流动的发生,不管是无意的还是恶意的。
•回收: 确保及时删除多余的或者未使用的虚拟机是另一个需要具体政策和目标控制的方面。另外,这种新技术的安全性影响也必须考虑在内:包括虚拟机对现有安全系统的影响(某些系统在虚拟环境中无法正常工作)和可能导致的潜在攻击危险。