虚拟化是数据中心的流行技术,而且很有道理。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。如果有了EMC公司的Vmware辅助技术的扩展和一些其他的虚拟化平台,很明显,虚拟化这项技术会迅速发展。 通常,安全是事后才要考虑的事情,而且还是一件大事。
虚拟化改变了服务器和数据中心的定义。因为反对把明显的物理服务器和网络(推测以被保护或监控的)连接,一个虚拟环境就是一个独立的,设备齐全的“盒子里的数据中心”,当所有过去在网络上发生的程序对程序通信(process-to-process communications),现在可能发生在独立的IT场地内部,毫无疑问,安全衍……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
虚拟化是数据中心的流行技术,而且很有道理。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。如果有了EMC公司的Vmware辅助技术的扩展和一些其他的虚拟化平台,很明显,虚拟化这项技术会迅速发展。
通常,安全是事后才要考虑的事情,而且还是一件大事。虚拟化改变了服务器和数据中心的定义。因为反对把明显的物理服务器和网络(推测以被保护或监控的)连接,一个虚拟环境就是一个独立的,设备齐全的“盒子里的数据中心”,当所有过去在网络上发生的程序对程序通信(process-to-process communications),现在可能发生在独立的IT场地内部,毫无疑问,安全衍生物将会意义重大。
事实是,没人知道虚拟化将在多大的程度上颠覆过去15年中,该行业为建立系统和应用程序防护方面的努力。为了掌握这种局势,理解安全在虚拟世界的不同功能非常重要。
不可能明确地说清楚意义重大的虚拟化安全的机遇是什么,但是有些关键点需要考虑。
- 网路防护无意义----大部分的网络防护都是发生在可见流量上的,数据包与行为和恶意行为相比,然后采取措施。如果流量不可见,就需要在虚拟服务其内部实行基于网络的办法。也就是说,在虚拟机内部或在跨越多个物理机的虚拟架构之间,监控进程间通信。
在虚拟世界中“网络”定义有很大的差异,也需要不同的防护。Blue Lane Technologies公司和Reflex Security公司是两家已经着手解决这个问题的产商,不管结果是什么。
- 管理程序庞大(对于攻击来说)---每个人都在说操作系统是如何地不安全。是的,所有的操作系统都不安全,但是复杂一点的说(朋友之间的复杂)意味着在潜在的不确定的另外的操作系统,也就是管理程序,上堆积整个混乱的潜在的不安全的操作系统。
对于不熟悉虚拟化术语的人来说,管理程序是无遮蔽金属和在上面运行的操作系统实力之间的软件提取层。这是软件,和大部分我们知道的软件的情况一样,它很容易受到攻击。问题是到底有多容易?桩子很高,如果下伏系统受到攻击,可能所有在它上面运行的虚拟机都会受到影响。
如果结果是管理系统可能会受到攻击,那就好像在流沙上面建造摩天大楼。你不需要成为建筑工程师就可以发现这是如何产生的。
- Steroids上的 结构管理----当每个物理服务器上有5,10或者100个虚拟设备时,大部分的负担是放在已经存在的结构管理架构上的。给5000个虚拟图像打补丁,运行多个不同的操作系统几乎是不可能的。今天的结构管理提供品都必须包含在虚拟世界操作所需的可测量性(和效率)的因素。
- 商业的连贯性是一项挑战---很多的企业都运行备份的服务器,和复制技术,只是以防万一。对于mission-critical应用程序,这事做地非常适合,因为停工期费用非常昂贵。但是如果这些关键的应用程序是在虚拟空间中运行的,你的商业连贯性计划需要把这些因素包括进去。
在“过去的又变成时新的”类别中,这是个已经解决的问题。由大型机操作系统解决问题的时代已经过去了。只因为我们以前已经看到了,并且可以找到类似的情况,这并不是说,在这种新情况下,这个问题已经不需要解决了。
- 软件商业模式必须改变----很多软件,特别是管理软件 是按照每个管理设备定价的,但是在虚拟世纪,什么是管理设备呢?制造出的每一个虚拟图像都需要付费吗?图像改变的时候,要发布信贷吗?我没有答案,但是我可以说的是,价格现状是不够的。
我们会看多虚拟化会产生软件间隔模式的出现。
这些问题的答案可能早了些。我知道,有很多聪明的人指出了这些问题,并在市场上推出了新的产品来解决这些问题。
作者
Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。
翻译
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
传统网络边界消弭,企业安全需从IT架构建起
随着云计算、移动化等技术的发展,企业网络边界变得模糊,传统的边界安全无法再很好地保护企业安全,为此,企业需要转变防御观念,从架构角度出发建立起新的IT安全架构,以应对无处不在的网络威胁。
-
汇总:虚拟环境下的网络安全模式
企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。
-
生物识别:并非完美但行之有效
如今,从数据中心到高端的消费品(如新型智能手机),生物识别技术的使用都非常广泛。虽然这不是什么新技术,但许多企业要求数据中心的管理员们实施这种技术,目的是为企业增加另外一层安全。