隨著虛擬化不斷盛行起來�����,中小企業(yè)(SMB)逐漸開始加大對虛擬化的投入�����。由于中小企業(yè)整體實力較為薄弱��,資金少�����,IT基礎設施不夠健全����,因此借用虛擬化技術(shù)來幫助企業(yè)減少開支、提高效率��、增強競爭力�����,就顯得理所當然�。可很多人卻只會停留在虛擬化技術(shù)一個層面����,并沒有全面考慮到虛擬化技術(shù)所應重視的安全問題。
正所謂“開開心心上班���,平平安安回家”����,如果僅僅重視虛擬化技術(shù)在中小企業(yè)中的具體應用,而完全忽視了虛擬化應用過程中所帶來的安全問題���,則多少有些“五音不全”�,畢竟“皮之不存毛將焉附”���。
在說明虛擬化安全問題之前��,我們先來了解當前虛擬化和虛擬化安全的概括���。根據(jù)調(diào)查發(fā)現(xiàn),虛擬化在大部分企業(yè)中并不是IT生產(chǎn)環(huán)境中的標準部署���。只有34.2%的企業(yè)對超過50%的IT系統(tǒng)進行了服務器部署�,而部署比例達到或者超過70%的企業(yè)只有11.4%.
而計劃2012年底前實施虛擬化的應用中�����,絕大部分都把精力放在服務器虛擬化和存儲虛擬化方面�����。在2012年底,將有50.8%的企業(yè)會實現(xiàn)超過50%的服務器虛擬化部署�,而存儲虛擬化部署的企業(yè)用戶將達33.3%�,并且其虛擬化程度也將超過50%.
而在關(guān)于虛擬化安全方面的調(diào)查發(fā)現(xiàn),有19.3%的企業(yè)認為經(jīng)驗和技術(shù)的不足會影響虛擬化安全的規(guī)劃和實施��。而在具體的影響虛擬化安全實現(xiàn)的因素當中�,預算和前期投入也是一個十分重要的因素,另外虛擬化環(huán)境和平臺的安全管理的復雜性��,也是一個突出的問題���。當然��,這一點也不奇怪���,因為安全問題本身是需要前期投入的,因此在部署虛擬化的時候往往容易被企業(yè)用戶忽視����。
其實復雜性問題歸結(jié)為兩點:首先是整體上的復雜性——相比較傳統(tǒng)的物理環(huán)境,虛擬環(huán)境下管理安全性會變得更為復雜���。因為虛擬化會促使更多的系統(tǒng)出現(xiàn)�,應用程序和數(shù)據(jù)會在不同的主機系統(tǒng)之間進行遷移和蔓延。其次是跨虛擬平臺和環(huán)境(不同服務商提供)的安全管理復雜性��。異構(gòu)虛擬化環(huán)境下安全管理的支持(根據(jù)現(xiàn)實中虛擬化的地位問題和結(jié)果)是成功部署的關(guān)鍵所在��。
大部分企業(yè)都在尋找某種整合的解決方案���,既幫助管理物理環(huán)境����,又能幫助管理虛擬環(huán)境����。有數(shù)據(jù)顯示,83.8%的企業(yè)偏向于選擇既能滿足物理環(huán)境又能滿足虛擬環(huán)境的管理解決方案���。這也就意味著��,不存在專為“虛擬化安全”的獨立市場�。不過���,那些傳統(tǒng)安全廠商可以通過現(xiàn)有IT安 全管理解決方案增加附加值來實現(xiàn)虛擬化安全�����。
另外���,有關(guān)虛擬化安全方面的挑戰(zhàn)和問題的重要性����,也備受人們的關(guān)注����。其中最受人們關(guān)注的是“數(shù)據(jù)蔓延”�,比如在沒有得到有效控制的情 形下數(shù)據(jù)遷移至不夠安全的環(huán)境中的風險。有調(diào)查數(shù)據(jù)顯示�,41.7%的企業(yè)用戶認為這一點十分重要。緊接著數(shù)據(jù)蔓延的就是完善法規(guī)和審計規(guī)范����。
另外,34%的用戶認為IT資產(chǎn)實現(xiàn)虛擬化后的業(yè)務風險評估也非常重要����,持有“非常重要”和“重要”觀點的用戶總共大概有78.8%的企業(yè)。這也就意味著���,業(yè)務風險和IT風險之間有著緊密的聯(lián)系����。
IT基礎設施的根本性轉(zhuǎn)變,比如基礎設施實施虛擬化的遷移�����,可能會對業(yè)務的發(fā)展帶來積極或者消極的影響�����。因此����,了解業(yè)務影響特別是潛在風險——比如此前所提的數(shù)據(jù)蔓延,就會顯得十分重要����。
虛擬化安全并不是一個孤立的技術(shù)問題,而是需要根據(jù)業(yè)務需求和風險情況��,與現(xiàn)有的IT安全舉措進行集成�。因此,中小企業(yè)需要做的是在已有的基礎上進行擴充�����,而不是專門為虛擬化環(huán)境而重塑安全。然而���,未來更好地管理分布式環(huán)境和減輕數(shù)據(jù)和服務器蔓延的風險�,需要有某些特定功能來支持��。
虛擬化環(huán)境下人們所關(guān)注的第一組問題——特別是特權(quán)用戶帶來的風險問題��。特權(quán)用戶指權(quán)限獲得提升的用戶��,如管理員�����、操作員以及技術(shù)用戶和其他類型的用戶���。根據(jù)調(diào)查發(fā)現(xiàn),企業(yè)對風險的看法與對此采取的措施存在顯著差異�。幾乎有四分之三(73.2%)的企業(yè)關(guān)注hypervisor提供的優(yōu)先特權(quán)以及由此帶來的潛在濫用問題。
Hypervisor的管理帳戶擁有廣泛的特權(quán)�����,由此��,它會使得虛擬化環(huán)境出現(xiàn)一個新的攻擊窗口,并可以通過特權(quán)用戶的濫用行為將該窗口進行打開�。在虛擬化環(huán)境下,這與權(quán)利的濫用有著十分緊密的關(guān)系——在某些情況下�,甚至很難跟蹤到這些特權(quán)用戶的濫用行為。因此��,引入PXM (Privileged Account/Identity/User Management�,特權(quán)賬戶/身份/用戶管理),在虛擬化和云環(huán)境中顯得更加必不可少����,以滿足法規(guī)遵從要求,并減輕這些環(huán)境風險���。
虛擬化安全屬于IT戰(zhàn)略中的一個組成部分��,它其實并不是安全解決方案��,只是對虛擬化環(huán)境提出了更高更多的管理要求�。下面����,具體介紹如何實現(xiàn)虛擬化安全:
隔離平臺
虛擬化可以打通一切硬件資源的條塊分割實現(xiàn)互通有無,對于虛擬機來說���,它們不能進行相互通信(除非通過網(wǎng)絡)�,而且資源會受到嚴格控制。對于虛擬交換機來說��,不存在網(wǎng)絡共享的機制��,但完全具備支持VLAN layer-2交換機的功能����。
隔離平臺的主要目的在于,一旦發(fā)生緊急情況��,可以最大程度地避免整個虛擬化環(huán)境系統(tǒng)的破壞�����,另外�,也有助于虛擬化安全管理�。在此基礎上,使每一臺虛擬機與其它的虛擬機和主機相隔離����。盡可能地在所有方面都進行隔離。
保護虛擬機
中小企業(yè)虛擬化安全���,更多的是需要考慮到虛擬機的安全�。用戶需要確保在不同虛擬機之間,用防火墻進行隔離和保護�����,而且要制定統(tǒng)一規(guī)范 的安全政策��,未經(jīng)授權(quán)或者未知來源都一律禁止訪問��。在單個虛擬機上(包括物理主機)�����,則需要安裝防病毒工具并保持更新�。而對于此前提到過的特權(quán)用戶問題,特別需要注重管理���。在利用特權(quán)用戶管理虛擬機的時候��,特別要重視虛擬機端口和遠程訪問�����,禁用不使用的網(wǎng)絡端口����,嚴格限制遠程訪問。
尋找專業(yè)技術(shù)顧問
中小企業(yè)部署虛擬化�����,本身就是一個艱巨浩大的工程�,對于這些實力較為弱小的企業(yè)用戶來說,依靠自身力量往往很難對虛擬化環(huán)境進行充分保護����。在這樣的情況下,中小企業(yè)可以考慮采用外包的形式�����,將虛擬化和虛擬化安全統(tǒng)一打包給專業(yè)的第三方進行統(tǒng)一管理�。
另外���,也需要加強企業(yè)內(nèi)部IT管理員的技術(shù)培訓和規(guī)范操作���,強化風險意識和安全觀念,在考慮到虛擬化安全的同時,也不能忽視了物理主機和網(wǎng)絡的安全防護工作��。
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
