隨著虛擬化技術(shù)的興起，以及許多企業(yè)因此改而在單臺(tái)服務(wù)器上運(yùn)行多個(gè)虛擬機(jī)，許多這些問題隨之消失了。

由于現(xiàn)在將多個(gè)虛擬機(jī)放到單單一臺(tái)服務(wù)器上，IT部門就能確保服務(wù)器的處理能力分配給了許多應(yīng)用程序。通常以個(gè)位數(shù)來衡量的利用率現(xiàn)在可以提高到70%，甚至更高，確保了浪費(fèi)在成本高、利用率低的服務(wù)器上的資本少得多。

向虛擬化技術(shù)轉(zhuǎn)變的潮流帶來了有時(shí)所謂的“虛擬化停滯”（virtualization stall），這也絕非什么秘密。這個(gè)問題是指，許多企業(yè)對(duì)25%左右的服務(wù)器進(jìn)行虛擬化處理后，就停滯不前了。

如果你分析一下為什么會(huì)出現(xiàn)這個(gè)問題，通常會(huì)發(fā)現(xiàn)企業(yè)將所有簡單的服務(wù)器（比如用于開發(fā)的機(jī)器以及DNS等低風(fēng)險(xiǎn)的內(nèi)部IT應(yīng)用程序）進(jìn)行了虛擬化處理，卻沒有對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理。

造成虛擬化停滯的原因有多方面，但是重要的一個(gè)原因是安全。實(shí)際上，安全小組沒有把握，不知道如何將為物理環(huán)境設(shè)計(jì)的安全做法搬到虛擬化環(huán)境。盡管存在這樣的困惑，但方向很明確：必須更新安全做法，才能打破虛擬化停滯僵局。

下面是安全部門走向虛擬化未來時(shí)面臨的三個(gè)最常見的問題：

一、對(duì)網(wǎng)絡(luò)流量缺乏了解。

許多安全部門監(jiān)控網(wǎng)絡(luò)流量，以便識(shí)別和阻止惡意流量和企圖滲透的活動(dòng)。安全廠商們?yōu)榇送瞥隽藢ｉT的硬件設(shè)備，可以進(jìn)行監(jiān)控，以減小安裝和配置工作的難度。這些硬件設(shè)備可以就像另一臺(tái)服務(wù)器那樣安裝到網(wǎng)絡(luò)上；只需要幾小時(shí)或幾天就能以安裝并運(yùn)行起來。這種硬件設(shè)備方法簡化了安全做法，對(duì)處于困境的安全小組和IT運(yùn)營小組來說是莫大的福音。

不過在虛擬化環(huán)境下，這種方法存在一個(gè)問題。同一臺(tái)服務(wù)器上的多個(gè)虛擬機(jī)通過虛擬機(jī)管理程序的內(nèi)部網(wǎng)絡(luò)來聯(lián)系，并沒有數(shù)據(jù)包流經(jīng)物理網(wǎng)絡(luò)——而安全硬件設(shè)備就位于物理網(wǎng)絡(luò)上，隨時(shí)準(zhǔn)備監(jiān)測數(shù)據(jù)包。當(dāng)然，如果虛擬機(jī)駐留在不同的服務(wù)器上，虛擬機(jī)之間的流量就會(huì)跨網(wǎng)絡(luò)傳送，那樣就可以接受檢查了。不過，出于性能方面的考慮，與同一應(yīng)用程序相關(guān)的多個(gè)虛擬機(jī)（如某個(gè)應(yīng)用程序的Web服務(wù)器和數(shù)據(jù)庫服務(wù)器）常常放在同一臺(tái)物理服務(wù)器上。

幸好，廠商們已挺身而出，積極解決這個(gè)問題。虛擬化技術(shù)廠商們提供了連接到虛擬機(jī)管理程序的軟件接口，思科和Arista等網(wǎng)絡(luò)廠商們已經(jīng)在使用這些軟件接口，與虛擬交換機(jī)集成起來，進(jìn)而能夠檢查流量。所以，這個(gè)問題并非無法克服，不過它的確需要對(duì)現(xiàn)有的網(wǎng)絡(luò)交換方法進(jìn)行升級(jí)，還需要使用與這種更新的計(jì)算模式集成起來的安全產(chǎn)品。換句話說，這需要投入更多的資金。但是僅僅對(duì)網(wǎng)絡(luò)流量缺乏了解絕不是企業(yè)推遲對(duì)生產(chǎn)環(huán)境的應(yīng)用程序進(jìn)行虛擬化處理的理由。

二、影響性能的安全開銷。

在單單一臺(tái)服務(wù)器上支持多個(gè)虛擬機(jī)的好處對(duì)于服務(wù)器制造商自己來說已經(jīng)變得很明顯，為此它們相應(yīng)改動(dòng)了自己的服務(wù)器設(shè)計(jì)。不像以前的1U比薩盒服務(wù)器也許只能支持四五個(gè)虛擬機(jī)，今天的4U刀片服務(wù)器配備了數(shù)百GB的內(nèi)存和大量的網(wǎng)卡。因而，現(xiàn)在服務(wù)器通常能夠支招25個(gè)或50個(gè)虛擬機(jī)。成本效益和利用率很高，但是在單單一臺(tái)服務(wù)器上運(yùn)行如此多的虛擬機(jī)會(huì)帶來其他問題。

一個(gè)常見的問題歸因于每臺(tái)服務(wù)器管理自己的安全產(chǎn)品。一個(gè)典型例子就是反病毒軟件。在許多IT部門，每臺(tái)服務(wù)器每天同時(shí)更新自己的反病毒特征文件，因而導(dǎo)致25或50個(gè)虛擬機(jī)同時(shí)開始進(jìn)行一樣的操作。這拖累了服務(wù)器，因而導(dǎo)致吞吐量比較低。

幸好，現(xiàn)在市面上有新的技術(shù)解決方案。首先，正如虛擬化技術(shù)廠商提供了應(yīng)用編程接口（API），讓網(wǎng)絡(luò)廠商們可以與虛擬機(jī)管理程序集成起來，它們現(xiàn)在還提供專門的API，讓安全公司們可以推出不需要安裝到每一個(gè)虛擬機(jī)上的新產(chǎn)品。相反，這些產(chǎn)品本身就是虛擬機(jī)。

當(dāng)虛擬機(jī)管理程序認(rèn)識(shí)到需要調(diào)用反病毒軟件（比如要求訪問在打開之前必須先瀏覽的文檔）的流量時(shí)，它會(huì)把這個(gè)調(diào)用轉(zhuǎn)發(fā)到虛擬機(jī)上的反病毒軟件，由虛擬機(jī)來執(zhí)行掃描。一個(gè)虛擬機(jī)代表所有25個(gè)虛擬機(jī)運(yùn)行反病毒掃描，而不是25個(gè)虛擬機(jī)運(yùn)行各自的反病毒掃描——這顯然是一種更好的方法。

你可能也猜到了，第二個(gè)方法是基于云。面對(duì)對(duì)文檔進(jìn)行重復(fù)性反病毒掃描這樣的任務(wù)——需要分發(fā)數(shù)百份或數(shù)千份（可能甚至數(shù)百萬份）反病毒特征文件，何不讓成千上萬的端點(diǎn)訪問一款放在中央位置的、基于云的解決方案呢？提供商能確保自己有足夠的資源來處理所有流量，而用戶避免了性能問題，又不必把更多的資本投入到安全軟件上。這種方法帶來了顯著效益，我們?cè)诓贿h(yuǎn)的將來會(huì)聽到基于云的安全方案方面的更多動(dòng)靜。

三、安全邊界遭破壞。

今年1月，我在華盛頓出席了首屆安全威脅大會(huì)。會(huì)議的一個(gè)主題是，以為自己的安全邊界牢不可破是愚蠢的想法。有組織犯罪團(tuán)伙的興起以及政府資助的黑客的出現(xiàn)，意味著不法分子針對(duì)感興趣的目標(biāo)發(fā)起了手段極其高明的攻擊。

互聯(lián)網(wǎng)安全聯(lián)盟（Internet Security Alliance）的首席執(zhí)行官Larry Clinton提供了一些駭人的統(tǒng)計(jì)數(shù)據(jù)，關(guān)于目前的安全威脅以及它們對(duì)如今IT做法的影響。簡而言之，目前的安全方法都不夠有效。要是不法分子將目光移向貴企業(yè)，就會(huì)設(shè)法進(jìn)入到你的網(wǎng)絡(luò)上。他們能夠安裝持續(xù)相當(dāng)長時(shí)間的僵尸程序，可以仔細(xì)翻查你的服務(wù)器，查找和竊取重要數(shù)據(jù)。這些不法分子采用的手法歸于“高級(jí)持續(xù)性威脅”（簡稱APT）這一類攻擊。

那該怎么辦呢？

當(dāng)然，一個(gè)辦法就是整合一層新的安全產(chǎn)品——這種產(chǎn)品專門用來對(duì)付APT.新老廠商隨時(shí)準(zhǔn)備向你銷售針對(duì)APT的產(chǎn)品。我不會(huì)拒絕考慮這種方法，但是我對(duì)這種威脅的看法是，它無異中加大了安全做法在單臺(tái)服務(wù)器或單個(gè)虛擬機(jī)層面的重要性——換句話說，就是實(shí)例層面的安全。你絕對(duì)應(yīng)該運(yùn)行完整性監(jiān)控，并且使用機(jī)載入侵預(yù)防系統(tǒng)。

當(dāng)然，把這些產(chǎn)品放到每一個(gè)虛擬機(jī)上的做法與“把安全移到虛擬機(jī)外面”的做法相沖突，但是一種更合理的想法是，只能在虛擬機(jī)上執(zhí)行的安全機(jī)制應(yīng)該放在虛擬機(jī)上執(zhí)行，而可以在幾個(gè)虛擬機(jī)之間共享的安全機(jī)制應(yīng)該遷移到某個(gè)中央位置。沒有十全十美的解決之道，但是安全向來需要權(quán)衡利弊，不是嗎？

結(jié)束語

虛擬化技術(shù)帶來的經(jīng)濟(jì)意義意味著，這種計(jì)算模式可能會(huì)變得很廣泛。就因?yàn)槟壳暗陌踩�做法未得到支持而試圖抵御這項(xiàng)技術(shù)廣泛應(yīng)用，就好比試圖逆潮流而行，那是徒勞無益的。