虚拟化并不安全：谁控制你的虚拟机？

   提取各处的复杂性

    虚拟资源在本质上是移动的，相互之间通过抽象层连接，而实际并不真正存在于物理环境中。这些连接是动态的，往往又是暂时的，管理员就不能再依靠固定在IT堆栈里的映射监测虚拟机的活动或者控制访问。

    虚拟资源可以轻松地创建、部署和重新配置。这些特征能够加快新业务的部署，但阻碍安全和控制的规划。如果没有相应的环境，运营团队如何进行灵活部署，同时还能加强配置控制？

    众所周知，在IT运营中，企业无法管理自己不能衡量的东西。然而，这同样也是事实，就是企业不能衡量自己无法看到的东西。传统的安全策略致力于加强对元素的控制，比如服务器、交换机、文件、应用程序等。元素是静态的，通常由物理位置确定。虚拟化改变了这一切。现在，这些元素的相互作用也变得同样重要，因为它们需要根据不同的身份进行配置。单个的文件只是一个文件，除非它也是一个虚拟机。换句话说，现在安全和可控制成为了动态虚拟基础设施中最重要的因素。

    加强控制：虚拟基础设施的安全要点

    虚拟化平台应针对四个主要组成部分实施全面的安全和控制策略：访问控制、策略执行，配置控制和登录。除了这些，还要对现有的安全基础设施进行优化，同时增补新的虚拟化功能，使其达到高度自动化。

    对于如何优化，下面给出了四条建议：

    *  访问控制和规则：集中和合理化访问方法，以减少重复，效率低下；提供更好的颗粒度，以适应新的虚拟资源类型、用户策略和访问协议。

    *  对象和安全政策：简化策略的制定和修改过程；支持策略输入/输出；利用合适的目录服务器和虚拟基础设施的目录清单/拓扑/用户描述数据；通过标签改进移动/动态虚拟资源的可见度。

    *  配置控制：支持行业标准和第三方评估框架结构；监测所有配置和对象的更改；改善跟踪配置变化的响应时间；通过自动修复减少合规风险。

    *  日志和遵守：提供连续、综合和粒度更快的登录分析报告支持用户特定的日志记录；充分利用现有的活动日志和系统日志记录工具；通过实时监控减少合规风险和警报。

    这些改进将使得虚拟化数据中心在实现同等级别的行动准备工作时，和纯物理硬件的基础架构不相上下。

    说到这里就会有人问，虚拟化支持小组究竟应该在哪里入手寻求解决办法？首先，它必须认识到，安全性和控制是必要的，而不是可选项，特别是将1级的关键业务部署到虚拟化环境中时。其次，法规遵从的影响广泛而继续深化，它影响了大部分行业中各种规模的企业。

    如果今天企业的数据或流程不符合合规性审查，那它们很可能会在不久的将来吃到苦头。因此，每个供应商的业务重点、安全技能和合规知识都应该加以衡量和考虑。

    此外，虚拟化平台供应商提供安全功能和局限的能力也需要认真考虑。一般来说，他们会采用第三方的高附加值的安全解决方案，而不是取代它们。举例来说，VMware提供更深入的检查和加强控制虚拟机的VMsafe技术，支持第三方入侵检测、杀毒软件和相关解决方案。

    总之，虚拟基础架构带来了新的复杂性和灵活性的挑战，复杂的安全规划限制了企业关键业务虚拟化的进程。虚拟化管理解决方案已确定为优先发展的方向，同时增强灵活性和加强配置控制。虚拟化管理的成熟度需要继续提升，以便全部启用新的管理工具，强化控制，通过自动化提升效率。