澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站:设想化管理程序待完备,

2019-12-01 作者:服务器运维   |   浏览(111)

有专家警告说:"虚拟服务器相对物理服务器而言更容易收到攻击,这也是管理程序技术开发过程中面临的新的隐患。"服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者们不禁担心存在于虚拟环境中的安全隐患会在整个网络中蔓延开去。

 服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者们不禁担心存在于虚拟环境中的安全隐患会在整个网络中蔓延开去。因为如果服务器管理程序发生问题,那么很快就会通过虚拟机在整个网络中蔓延出来。接下来,就让我们从服务器租用以下四个方面看一看与服务器虚拟化的相关问题:

虚拟服务器是有很多好处,但它的安全问题完全暴露了吗?如何确保安全性?可以采用下面十个积极步骤。

目前,服务器管理中的最热门话题是管理虚拟服务器的问题。服务器虚拟化能够让较少的硬件资源运行多个应用程序和操作系统。这对于希望提高服务器利用率的IT经理来说是十分有吸引力的。

如果说有两种技术趋势曾经彼此贯通的话,至少从厂商营销策略和IT基础架构的角度来看,就应该是IT消费化和桌面系统虚拟化。

"我之所以对虚拟化敬而远之是因为我对管理程序中的安全问题早有耳闻",位于美国佛罗里达州的整形和医疗器械供应商Exactech公司的网络管理员克雷格.布什表示。"一台服务器发生故障不会影响到整个网络,但是如果是管理程序就有可能发生这样的事,我们必须看到所有的安全问题都得到解决才会考虑介入虚拟化"。

1. 虚拟机溢出导致安全问题蔓延,管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作“虚拟机溢出”。

2007年,数据中心虚拟化方面的重大问题

据市场研究公司Forrester Research的调查显示,受访者已经把自己四分之一的服务器设备进行了虚拟化,并且计划在两年内把服务器的虚拟化比例提高到50%左右。随着企业IT团队扩大服务器虚拟化的应用,则应对管理的挑战也变得非常重要。

研究桌面系统虚拟化的分析师表示,其研究的许多应用案例也能与他们客户所面临的问题对号入座,比如IT的消费化。根据IDC研究公司分析师伊恩.宋的说法,那些坚持使用不规范或者未经批准的计算服务比如平板电脑和iOS或者安卓智能手机等)的最终用户会对IT部门提出远程访问基础架构和制定相关IT预算的需求。当同一个用户出于不同的原因希望使用两种,三种或者四种计算服务时,情况很快就会超出IT部门的控制。

在此我们将虚拟化环境的安全问题归纳为四点:

现在技术工程师通常采用隔离虚拟机的方式来保障虚拟环境的安全性。保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟化环境来说是比较好的方法。

还是“该技术可节省多少资金和时间?”而到2008年,这个问题将变成“采用该技术,我们会有多安全?”这是一个极难回答的问题。一大批拼命推销虚拟化产品和服务的厂商、顾问在风险及如何防范风险方面存在相左的观点。

对于那些努力寻求如何更好地管理虚拟机方法的人们来说,以下的6点启示至关重要。

宋表示“你不可能给每个用户两台或者三台计算机或者为他们安装应用软件和配置基础架构来支持分散在各处的每个设备,不管你的资源是什么”。

1.虚拟机溢出导致安全问题蔓延

如果虚拟机能够从所在管理程序的环境中脱离出来,入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对保护虚拟机而设计的安全控制系统。虚拟世界的安全问题正在试图脱离虚拟机的控制范围。尽管没有那家公司会允许安全问题通过管理程序技术的方式在虚拟主机间相互传播和蔓延,但这样的安全隐患还是存在的。因为入侵者或者安全漏洞会在虚拟机之间来回捣乱,这将成为开发者在开发过程中的必须面对的问题。

同时,一些安全研究人员也在大肆宣传理论上存在的风险,比如可能会出现的恶意软件。市场研究公司伯顿集团的高级分析师ChrisWolf说:“现在虚拟化方面的动静很大,让人晕头转向。”

1. 管理虚拟服务器的难点是什么?

最明确的解决方案就是创建一个虚拟桌面系统,不仅可以在数据中心内的服务器上运行,而且可以由最终用户在办公室中使用传统计算机就能轻松创建,查看和使用,也可以从公共场所的计算机或者通过开放式无线网络联网的智能手机登录的员工使用。

IT管理者们担心管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作"虚拟机溢出"。

2.虚拟机成倍增长,补丁更新负担加重

许多IT部门表示,在2007年开始创建成千上万个新的虚拟机时,他们认为运行速度比其他因素(如安全规划)更重要。IDC公司负责企业系统管理软件的研究主任StephenElliott说:“安全是虚拟化扩建过程中被遗忘的一个角落。要是想想现在虚拟机的数量,确实挺让人担忧。”据IDC声称,如今,员工总数不少于1000人的公司当中有75%在使用虚拟化技术。

有些人会告诉你管理虚拟服务器和管理物理服务器差不多。有些人会告诉你这取决于管理的内容。但是,所有的人都一致认为用户在生产环境中部署虚拟服务器之前应该有一个全面的管理计划。

根据Gartner公司研究副总裁克里斯.沃夫的说法,成熟的虚拟桌面系统基础架构产品正在变得越来越普遍,但是可能无法成为虚拟桌面系统的主流,更不用说从数量上超过传统的物理桌面系统了。

如果虚拟机能够从所在管理程序的独立环境中脱离出来,工业专家们表示入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对保护虚拟机而设计的安全控制系统。

IT管理人们也认同补丁在虚拟化环境中的关键性,但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题,而是量的问题。虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。目前,世界上有公司采取三种虚拟化环境--两个在网络内部,一个在隔离区DMZ)上--大约有150台虚拟机。但这样的布置就意味着管理程序额外增加了层来用于补丁管理。但即便如此,还是无法改变不管物理机还是虚拟机上补丁的关键问题。

Gartner公司的副总裁NeilMacDonald在去年10月举办的Symposium/ITxpo大会上预测,到2009年,60%的生产虚拟机安全性将不如物理服务器。

美国企业管理协会的一位研究经理Andi Mann说,管理不是一个单一的纪律。管理涉及到从业务持续性的计划到补丁的管理,以及其他许多事情。在业务持续性计划中,虚拟服务器的管理比物理服务器管理要容易一些。但是,在给多个系统使用补丁的时候,虚拟服务器就更复杂一些。用户总是不能肯定所有的虚拟机是否都使用了补丁,而这显然是一个问题。

这是迄今为止虚拟桌面系统最昂贵的产品,特别是与用于平板电脑,智能手机和其他支持虚拟个人网络或者加密连接的传统设备来相比更是如此,沃夫表示。

"虚拟世界的安全问题正在试图脱离虚拟机的控制范围",伯顿集团的资深分析师Pete Lindstrom在最近的虚拟化安全网络广播会议上表示。

虚拟机遇到的另外一个安全隐患是:虚拟机修补面临更大的挑战,因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升。

安全专家ChrisHoff认为,到目前为止,围绕虚拟化安全的讨论大部分都是片面的。他是优利系统公司安全创新部门的首席架构师。其实应该这么考虑:“已经把知道的安全知识运用到了虚拟化环境中吗?我们应当确保构建的虚拟网络要与构建的物理网络一样可靠、安全。”

一致性和标准化在与物理服务器一起管理虚拟服务器的时候也将成为一个较大的问题。虚拟服务器的好处包括容易使用资源。这要求IT管理员为应用服务器和数据库服务器预先确定设置参数。专家表示,保持设置参数的准确性和最新状态在虚拟化环境中更加重要,因为在虚拟服务器上更容易发生设置漂移,使用补丁也是如此。

沃夫解释说“人们都在探讨桌面系统虚拟化,即使这是一种解决方案,或者一套解决方案,但是还是需要经过一系列的部署”。

"据我所知,没有那家公司会允许安全问题通过管理程序技术的方式在虚拟主机间相互传播和蔓延"Catapult系统公司的咨询师史蒂夫.罗斯表示,他主要负责VMware虚拟化环境的配置和维护。

另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压力,他们开始越来越关注实现这一进程的自动化的工具的诞生。

某些IT部门正在犯一个根本的错误:他们让服务器部门单枪匹马地开展虚拟化项目,没有让IT团队的安全、存储和网络专家参与进来。这会给虚拟化技术带来内在的安全问题缺陷。

Noel and Associates研究公司的主要分析师Jasmine Noel也表示:“服务器虚拟化的重点转向了管理模板和防止设置漂移方面。”理想的情况是IT经理创建一个标准的模板详细说明操作系统、厂商软件、补丁水平、客户代码等信息。这个模板要保持不变,这样部署的每一个新的虚拟服务器都与这个预先制定的标准保持一致。补丁也可以成为这个模板的一部分。

传统上来说,虚拟桌面系统是由无声终端,用于呼叫中心,银行和其他大交易量环境员工在同一天轮流使用同一台计算机工作)的共享服务器/共享应用软件所组成的。

"这是有可能发生的,入侵者或者安全漏洞会在虚拟机之间来回捣乱,但是我们将它们看做是开发过程中的必须面对的问题"Bowdoin大学的系统工程师提姆.安东尼兹表示。安东尼兹在性能服务器上使用的是VMware ESX虚拟化程序,他通过在资源集群里隔绝虚拟机来尽量回避这样的问题,这主要依赖应用程序或者虚拟机信息的敏感程度。"我们用隔离虚拟机的方式来提供安全性",他表示。

3.在隔离区DMZ)运行虚拟机

伯顿集团的Wolf说:“虚拟化绝大部分靠规划,而规划必须让全部团队参与进来,包括网络、安全和存储等团队。”而事实上,大多数IT团队在迅速推进虚拟化的项目,安全方面的工作跟不上。如果错失了与所有专家一起规划的大好机会,那该怎么办呢?Wolf说:“安全方面想迎头赶上,不妨从认真审查虚拟基础设施入手,这要借助工具或者顾问。”

除了维护和可用性管理之外,另一个管理问题是性能问题。业内观察人士称,虚拟环境的复杂性使确定性能问题的根本原因变成了一个更繁重的任务。性能管理变得更复杂,因为更困难的问题是你需要理解物理服务器的问题是如何在虚拟机上表现出来的,以及虚拟服务器的问题是如何在物理服务器上表现出来的。虽然虚拟化提供了灵活的资源,但是,一台服务器上的多个虚拟服务器将争夺同样的资源。IT经理应该记住这个事情。

这仍然是应用最普遍,价格最低廉的解决方案。其他解决方案是让IT与用户对复杂性所需的功能和IT部门所能承受的成本相匹配,沃夫表示。

位于芝加哥的Cars.com的技术运作总监Edward Christensen也是采用隔离虚拟机的方式来保障虚拟环境的安全性。

通常,许多IT管理人都不愿在隔离区DMZ)上放置虚拟服务器。其它的IT管理者们也不会在隔离区DMZ)的虚拟机上运行关键性应用程序,甚至是对那些被公司防火墙保护的服务器也敬而远之。不过如果用户正确采取安全保障措施,这样做也是可行的。用户你可以在隔离区DMZ)内运行虚拟化,即使防火墙或隔离设备都是物理机上。许多IT管理者们致力于将他们的虚拟服务器分隔开,将他们置于公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。服务器托管在多数情况下,如果把资源分离出来是比较安全的方式。这个时候,不管是隔离区还是非隔离区,都可以建立虚拟化环境,他是采用在虚拟资源的集群中限制访问的办法。“每个集群都是自己的资源和入口,因此无法在集群之间来回串联”,他解释说。

下面是企业为了加强虚拟机安全可以采取的十个积极步骤:

澳门新萄京官方网站:设想化管理程序待完备,坚实数据基本虚构化安全的12个步骤。2. 如何阻止虚拟机蔓延?

一些用户可能只是在桌面系统上对偶尔使用的一种应用软件虚拟化;其他用户可能会选择几种应用软件从内部合作的“应用软件商店”来部署虚拟化或者对在全天都在数据中心服务器上运行的虚拟机桌面系统上工作,当然这需要资源密集型虚拟桌面系统基础架构服务器配置。

保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙,Christensen表示。在线自动化公司使用的是VMware公司的虚拟化管理程序在他们的惠普服务器上进行虚拟机配置,Christensen表示从网络上脱机保存虚拟化环境有助于缓解安全隐忧。"这对于虚拟化环境来说是比较好的方法"他表示。

4. 管理程序技术的新特性容易受到黑客的攻击任何新的操作系统都是会有漏洞和瑕疵的。

一 控制虚拟机的数量

虚拟化提供了部署方便的好处,但是服务器设置的速度越快,这种服务器的需求就越多。而这将很快导致数量过多的虚拟机。

“一定比例的用户,或许是20%可能会适合全面虚拟桌面系统基础架构,而大部分其他的用户将选择部分应用软件虚拟化或者对在自己的上网本上安装的应用软件和操作系统部署虚拟化,一些用户可能只使用传统安装模式的应用软件”。

2.虚拟机成倍增长,补丁更新负担加重

5. 虚拟化从本质上来说全新的操作系统,还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响,让情况一团糟的情况成为可能。

创建虚拟机只要短短几分钟。但虚拟机数量越多,面临的安全风险也越大。所以,最好能够跟踪所有的虚拟机。

IT经理和行业观察人士称,控制虚拟服务器蔓延需要采用物理服务器中使用的相同的流程和审计方法,以保证仅设置需要数量的虚拟服务器。虽然基于政策的管理和存货目录工具能够帮助你保持服务器的数量,但是,IT部门必须要制定一个约束的流程防止出现虚拟机蔓延,破坏成功的部署。

Forrester Research公司的副总裁兼首席分析师詹姆斯.斯坦利表示,将网络前端放在应用软件上并通过内部服务器供用户在各种客户端硬件上使用并非难事,但是这不是最安全或者最好的管理模式。

"虚拟机修补面临更大的挑战,因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升"伯顿集团的Lindstrom表示。"证实各个机器上补丁修复的能力在虚拟世界里更加重要"。

6. 那这是否意味着黑客就有机可乘,发现虚拟操作系统的缺陷进而发动攻击呢。工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕,他们存在潜在导致漏洞和安全隐患的可能性,安全维护人员只靠人工补丁修护是不够的。

Arch Coal公司负责IT的CIO MichaelAbbene说:“我们先对很不重要的测试和开发设备进行了虚拟化处理,然后转向一些不太重要的应用服务器。因为一直很成功,所以我们把目标放在比较重要的服务器上,但这么做会加大风险系数。”该公司目前大约有45个虚拟机,包括活动目录服务器以及几台应用服务器和Web服务器。

业内观察人士建议使用服务器生命周期管理流程。这个流程将跟踪虚拟或者物理服务器从创建到撤销的整个过程的目的和状态。不限制松散的部署习惯就会引起管理虚拟机的其他难题,如补丁管理等。

如果IT能够在每台最终用户希望使用的设备上安装管理程序,那么应用软件就会更加安全和易于控制,斯坦利解释说。并没有每台设备都需要专门为其硬件或者操作系统设计的管理程序,比如思杰销售和VMware正在开发的管理程序,但是本地管理程序比那些后来安装的管理程序运行的水平更高,不管是哪家厂商制造的都是如此。

IT管理人们也认同补丁在虚拟化环境中的关键性,但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题,而是量的问题。"我们需要紧记虚拟化服务器与物理服务器一样也需要补丁管理和日常维护"Catapult公司的罗斯表示。Transplace公司有三种虚拟化环境--两个在网络内部,一个在隔离区(DMZ)上--大约有150台虚拟机。"管理程序额外增加了层来用于补丁管理,不过无论物理机还是虚拟机上补丁都非常关键",罗斯表示。

虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解,象VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性。

那么,如何控制服务器数量激增?一个方法是:创建虚拟服务器要像创建物理服务器一样严格。在ArchCoal公司,IT团队对创建新虚拟机的审批很严。 “无论是物理服务器还是虚拟服务器,都要通过同样的流程才能获得批准。”ArchCoal的微软系统管理员TomCarter说。

3. 传统的管理工具足以适用于虚拟服务器吗?

不仅连接比流应用软件或者加密套接字协议层要更加安全,而且管理程序还能让IT创建完整的环境来应用相同的安全性,应用软件和公司所有的计算机上实施的协议。

对Bowdoin的Antonowicz来说,应对虚拟服务器的增长过快是目前优先考虑的问题,当服务器成倍增长已经超出我们的控制之时,我们也要及时增加补丁服务器的数量。过去他们会将40台服务器作为补丁,但是现在用于安全保障的补丁服务器数量已经超过了80台。他希望将来能有一款工具能更好的实现这一进程的自动化。

...

为此,ArchCoal的IT部门通过一个委员会(由服务器和存储等不同部门的IT员工组成,实现轮岗制)批准或者否决申请。这意味着应用开发部门的人员根本无法擅自构建VMware服务器,不过他允许开发人员提出要求。

管理厂商可能回答说:“是的”。他们在很大程度上已经增加了对虚拟化环境的支持。

“这样使得执行杀毒和安全升级的协议也容易多了”宋表示。

"在没有任何物理约束的情况下,虚拟机的增长速度不断加快"Antonowicz表示。"在我们使用更多的虚拟机之前,我需要了解更多补丁自动化的信息"。

专家认为,虚拟机数量激增是一大问题,会导致管理、维护性能及配置供应的能力出现滞后。“另外,如果虚拟机的数量超出了控制范围,就会出现意料不到的管理成本。”TomCarter说。

从CA等系统管理市场领先的厂商到BladeLogic等数据中心管理厂商,许多厂商都参加了把应用程序编程接口建在VMware公司的工具中的合作,以便实现数据交换和提供有关虚拟服务器健康状况和可用性的一些指标。一些厂商承诺要提供虚拟和物理管理指标,如CPU、硬盘和内存一起使用的指标。但是,IT经理需要一些工具提供的基本信息以外的数据。

扩展虚拟基础架构来跟上虚拟的消费化硬件发展步伐对于IT运营人员来说无疑是个梦魇,他们经常要和消除种种障碍做斗争,还要保证在物理服务器向虚拟服务器大规模迁移的过程中公司的稳定,斯坦利表示。

3.在隔离区(DMZ)运行虚拟机

二 运行更多流程

PlateSpin、Scalent Systems、Veeam、Vizioncore以及其它一些新兴企业正在填补他们所说的老牌厂商不能解决的虚拟化管理的空白。例如,一些新兴企业的重点是识别在虚拟机上运行的应用程序并且看到在虚拟堆栈中的请求和应答。创新的虚拟服务器管理工具能够帮助IT经理更快地识别出哪一个虚拟机上运行的哪一个应用程序性能不好。

“当你实施大规模的物理服务器向虚拟服务器迁移时,服务器虚拟化看起来能节约大量的成本。但是当你要攻克消除大量硬件这一关,你就开始看到大量的虚拟机蔓延,会消耗大量的虚拟化资源,这样看起来成本和虚拟机蔓延都会失去控制”斯坦利解释说。

通常,许多IT管理人都不愿在隔离区(DMZ)上放置虚拟服务器。其它的IT管理者们也不会在隔离区(DMZ)的虚拟机上运行关键性应用程序,甚至是对那些被公司防火墙保护的服务器也敬而远之。根据伯顿集团的Lindstrom的说法。不过如果用户正确采取安全保障措施,这样做也是可行的。"你可以在隔离区(DMZ)内运行虚拟化,即使防火墙或隔离设备都是物理机上。在多数情况下,如果把资源分离出来是比较安全的方式",他表示。

虚拟化技术最吸引人的也许在于速度:只要几分钟就能创建虚拟机,可以轻松移动,只需要一天而不是几周即可提供新的计算功能。但IDC的Elliott认为,放慢节奏,认真考虑虚拟化成为现有IT流程的一部分,就能够从根本上预防安全问题。

对于那些不准备投资虚拟管理专业软件的IT经理来说,他们可以采取其他措施使自己可靠的技术更适合虚拟环境。例如,Ganzon增加了Network General公司(已经被NetScout公司收购)产品的投资以便监视虚拟机之间的通讯。他把Network General产品中的通讯流量分析与Compuware公司的ServerVantage软件中物理服务器性能指标进行比较。

虚拟桌面系统成本从指数上来看比虚拟服务器更高,这是因为桌面系统的数量更大,斯坦利表示。甚至是在全面虚拟化的劳动力中,每个员工也需要在桌面上有某种类型的硬件,从常规的个人计算机到零客户端的终端机Wyse, Pano Logic)或者其他瘦客户端硬件厂商等涵盖在内。

Bowdoin公司的Antonowicz表示,不管是隔离区还是非隔离区,他都会建立虚拟化环境,他是采用在虚拟资源的集群中限制访问的办法。"每个集群都是自己的资源和入口,因此无法在集群之间来回串联",他解释说。许多IT管理者们致力于将他们的虚拟服务器分隔开,将他们置于公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。Transplace公司的IT基础架构总裁斯科特.安克表示,防火墙和在隔离区虚拟机上运行的应用程序之后就是价值的体现,比如DNS的服务。

Elliott说:“流程至关重要。考虑虚拟化时不仅要站在技术的角度,还要站在流程的角度。”举例说,如果使用ITIL来指导IT流程,就要考虑虚拟化是否适合流程框架。如果使用其他IT最佳实践,也要考虑虚拟化的适应性。

4.捆绑虚拟化管理程序的工具能应用于大型虚拟化的部署吗?

每个额外的用户都意味着在数据中心有更多的工作负载需要验证和存储,运行虚拟机,虚拟应用软件和提供实际运行应用软件的服务的价格也更加昂贵,斯坦利表示,

"我们在可信赖主机的平台上运行防火墙。在我们的隔离区,我们将在少数VMware公司实例上运行物理服务器,但是在可信赖平台和非信赖网络之间的鸿沟却难以跨越",安克表示。

Hoff举例说: “如果要加强服务器安全,就应当对虚拟服务器采取与物理服务器同样的一套做法。”

人们的一致看法是捆绑VMware或者Xen管理程序的管理工具不适合在大型虚拟化的部署中应用。

用于大批用户的企业对虚拟化的需求越来越大,这些用户运行着资源密集型的应用软件,需要高级别的安全性和数据中心质量可用性及备份,宋表示。

4.管理程序技术的新特性容易受到黑客的攻击

在ArchCoal公司,Abbene的IT团队就是这么做的。Abbene说:“我们确保物理服务器安全的最佳实践运用到了每一个虚拟机上。”加强操作系统安全、在每一个虚拟机上运行反病毒软件、确保落实补丁管理,这些措施使得虚拟机具有同样的安全流程。

虽然与VMware的管理程序捆绑提供的软件能够实现管理程序和那个环境的管理,但是,业内观察人士称,这些能力没有超过可用性的范围以覆盖性能或者其他厂商的产品。此外,大多数网络都有一个以上的管理程序在运行,因此,对于虚拟服务器的管理需要多种方法。

IT部门可以通过赋予不同用户不同数量的虚拟资源来缓解成本增长的趋势,这种资源可以转化为数据中心中空间和计算计算的应用。他们可以通过使用管理程序在每个上网本上创建两种独立的虚拟环境来大幅度降低数据中心成本:一种供员工个人用途使用,另一种供用户安全登录和保证专门用于无病毒环境的虚拟机使用,这样产生的问题就不会相互传染了,宋解释说。

任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘,发现虚拟操作系统的缺陷进而发动攻击呢?

三 利用安全工具

另外,在IT经理把虚拟化应用从十几台服务器升级到几百台服务器的时候,虚拟化厂商目前提供的技术工作得不一样好。虽然虚拟化厂商都指望在未来通过管理功能使自己脱颖而出,但是,当前的工具并不适合大型的多厂商、多站点网络。当然,这个时间线并不意味着已经开始使用虚拟化的IT经理不能使用这些工具。

在这种情况下员工可以使用虚拟桌面系统,但是要依靠他们的物理上网本或者智能手机而不是后端的服务器。

工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕,他们存在潜在导致漏洞和安全隐患的可能性,安全维护人员只靠人工补丁修护是不够的。

是否需要一套全新的安全和管理工具来保护虚拟化环境?不需要。明智之举就是,从保护物理服务器和网络环境的一套现有安全工具入手,然后运用到虚拟环境。但一定要了解厂商是如何跟踪虚拟化风险、将来如何与其他产品进行集成的。

5.用户应该等待微软提供其虚拟化管理程序吗?

尽管思杰公司销售的本地管理程序可以用于大部分智能手机,VMware也有一种或者两种类似的管理程序,两种手机合为一体的方式由于成本和在多种类型设备上维护虚拟机的复杂性而增长缓慢。

"虚拟化从本质上来说全新的操作系统,还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响"位于Ptak的诺埃尔协会创始人兼首席分析师Rich Ptak表示。"让情况一团糟的可能性是存在的"。

IDC的Elliott说:“保护物理环境的工具用于保护虚拟化环境是一种虚假的安全感。”同时他又说:“对虚拟化环境的新型安全工具而言,目前处于市场的早期阶段。这意味着必须对传统厂商以及潜在的新兴厂商施加压力。”

无论你对微软有什么意见,你都不能否认微软知道如何引起人们对产品的兴奋。微软名为“Viridian”的Windows服务器虚拟化管理技术在2008年推出。许多人都不知道是否应该等待微软推出这个技术之后再进行虚拟化投资。

设备的多样性是个问题,因为对于管理程序来说接近服务器并尽可能的在多个系统软件层下运行是非常重要的,宋表示。

虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解,象VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性。

别以为平台层面的工具(如VMware的工具)足够好。要看一看新兴公司和传统管理厂商。对那些传统厂商施加压力,要求他们做更多的工作,并为他们提供指导。

市场研究公司Yankee Group的分析师Hamilton说:“微软也许让你等待。但是,为什么要等待呢?微软做的事情是针对微软的具体情况的。”一些人同意这个观点,他们说,微软的产品可能会影响以微软产品为中心的小企业的决策,但是,不会影响到大型的不同种类的环境。

在资源有限的设备比如智能手机)操作系统顶部运行的Type II管理程序会影响系统的性能。

"VMware公司与微软公司相比成绩显著,在各大厂商中走在了行业的前列"互联网研究集团的负责人彼得.克里斯蒂表示。"不过管理程序使用的代码数量相对简单,比八千万行的代码要安全的多"。

马自达北美公司的CIO—JimDiMarzio就在他的企业中采用了这项策略。与ArchCoal一样,马自达北美公司也在虚拟服务器的核心处运行 VMware的ESXServer3软件,最近一直在增加虚拟机的数量。DiMarzio说,他预计到2008年3月会有150个虚拟机。

6.管理虚拟服务器的自由软件和开源软件的选择是什么?

本地裸机Type I型管理程序会更好一些,但是目前还没有正式推出,宋表示。思杰公司预计今年夏天推出本地管理程序代码版本。VMware也宣布正在研发裸机管理程序,预计会在明年初推出。

...

为了保护这些虚拟机的安全,DiMarzio决定继续使用现有的防火墙和安全产品,包括IBM的TivoliAccessManager、思科防火墙工具以及赛门铁克的入侵检测系统(IDS)监控工具。

Hyperic和Veeam等公司已经发布了管理虚拟环境的产品。Hyperic去年发布了“Hyperic HQ for Vmware”软件,把自己的主打软件的功能扩展到了虚拟环境中。这家公司的软件把VMware公司的应用程序编程接口与虚拟中心接口集成在一起,以便发现物理和虚拟服务器,把虚拟实例结合到所有系统的清单中。如果发生变化,这个软件就能够检查到变化,更新这个库并且提醒IT部门。HQ软件执行名为的“物理到虚拟服务器的镜像”功能,向IT经理显示虚拟机和主机的状况,以及在虚拟机上运行的操作系统和应用程序。

研究桌面...

Arch Coal公司的Abbene及其团队也继续使用原有的安全工具,同时又在调查BlueLane和ReflexSecurity等新兴公司的工具。Abbene说: “传统安全厂商正在奋起直追,他们在这方面落后于新兴公司。”

新兴企业Veeam正在自己免费的应用软件成功的基础上建立商业软件业务。“FastSCP 2.0 for Vmware”是一种免费的文件管理产品,能够帮助用户迁移虚拟机和把实例从一个服务器转移到另一个服务器。FastSCP原来是在2006年10月发布的,已经成为ESX文件管理的事实上的标准。

四 采用嵌入式管理程序

业内人士不愿意宣传在全面的虚拟服务器管理中使用免费的软件或者开源软件。Yankee Group分析师Hamilton称,如果免费软件或者开源软件能够填补当前管理工具的空白,那么使用这类软件的风险是相对比较低的。但是,我对于这种软件在大企业级别的应用中仍然感到担心。用户还是不要在免费软件或者开源软件方面“走得太远”。而是要认清这种软件能不能满足所有的需求。

服务器上的虚拟机管理程序层充当虚拟机的基础。VMware近期宣布推出的ESXServer3i虚拟机管理程序的独特之处在于不包括通用操作系统。出于安全上的考虑,它采用了精简设计,只占用32MB空间。

  1. 用LVM管理Linux系统服务器存储空间
  2. 如何进行Windows2003服务器软硬件兼容分析
  3. 在SAN环境下部署虚拟服务器

像戴尔和惠普这些硬件厂商近期表示,它们会在物理服务器上交付像VMware这种虚拟机管理程序的嵌入式版本。基本上,嵌入式虚拟机管理程序因为比较小,所以比较安全。

...

专家认为,嵌入式虚拟机管理程序是将来的一大趋势。不但从未涉足过这个领域的一些公司会提供嵌入式虚拟机管理程序,大多数服务器厂商也会提供。BIOS软件领域的市场领导厂商PhoenixTechnologies近期宣布:进入虚拟机管理程序领域,首先会推出名为HyperCore的产品,即面向桌面和笔记本电脑的虚拟机管理程序。用户开机后,可以使用网络浏览器和电子邮件等客户软件,无须等待启动Windows(HyperCore将被嵌入到电脑的 BIOS中)。

虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能出现的结果是,许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。Hoff说:“无论是Phoenix还是其他厂商,会出现备受关注的竞争,这些虚拟机管理程序都希望成为下一个优秀的操作系统。”

五 限制访问虚拟机权限

如果赋予了访问虚拟机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限。伯顿集团的Wolf建议,要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是,有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。Wolf又说:“有些厂商甚至本身就没有遵守VMware针对 VMwareConsolidated Backup的最佳实践。”

ArchCoal的信息安全管理员PaulTelle说,总体而言,公司特别注意限制访问虚拟机的管理员权限。他指出,公司里只有一小部分人才拥有这样的权限。

应用开发人员应该只有最小的访问权限。“我们的应用开发人员可以访问共享区域,这是最小的访问权限。他们无法访问操作系统。”他说,这有助于控制虚拟机数量激增,同时增强了安全性。

六 留意存储资源

有些企业在SAN上提供过多的存储资源,这就可能错误地让虚拟机的共享区域成为SAN的一部分。

如果使用VMware移动虚拟机的工具VMotion,会在SAN上分配一些分区存储资源。但还要细化存储资源的分配,就像在物理环境下那样。展望未来,N-portID虚拟化技术是一个选择,这项技术可以只为一个虚拟机分配存储资源。

七 隔离网段

企业走上虚拟化道路,不该忽视与安全有关的网络流量风险。但其中一些风险很容易被忽视,如果在进行虚拟化规划时没有网络和安全人员参与,更是如此。Wolf说:“许多企业只是把性能作为合并服务器的度量标准。”

举例说,有些CIO绝对不允许任何虚拟服务器出现在“非军事区(DMZ)”。(DMZ是存放外部服务到互联网的子网络,就像电子商务服务器一样,它在互联网和局域网之间增加了缓冲区)。

Wolf说,要是DMZ里面果真有几个虚拟机,就要放在与一部分旧系统(如关键的Oracle数据库服务器)分开在的独立网段上。

Abbene说,在ArchCoal公司,IT团队一开始就考虑到了DMZ。他们把虚拟服务器部署在内部局域网上,不面向公众。Abbene说:“这是一个关键的决定。”举例说,公司在DMZ里面有几台安全的FTP服务器以及几台从事简单电子商务的服务器,公司不打算把虚拟机部署到里面。

八 注意交换机

什么时候交换机不是交换机?Wolf说:“有些虚拟交换机的工作方式类似集线器:每个端口镜像到虚拟交换机上的所有其他端口。”特别是如今的微软 VirtualServer带来了这个问题。VMware的ESXSserver不会,思杰的XenServer也不会。他说:“人们一听到"交换机",就认为有隔离机制。这其实视厂商而定。”

微软声称,交换机问题会在即将发布的Viridian服务器虚拟化软件产品中得到解决。

九 监控“非法”虚拟机

要担心的不仅仅是服务器。Wolf说: “最大的威胁在客户端上—非法虚拟机(rogueVM)。”那么,什么是非法虚拟机?用户能够下载及使用VMwarePlayer这样的免费程序,会让桌面和笔记本电脑用户可以运行由VMwareWorkstation、Server或者ESXServer创建的任何虚拟机。

如今许多用户喜欢在桌面或者笔记本电脑上使用虚拟机分开各部分工作,或者分开公事与私事。有些人使用VMwarePlayer在一个机器上运行多个操作系统。比如使用Linux作为基本操作系统,却创建一个虚拟机来运行Windows应用。

Wolf说: “这些虚拟机甚至没有打上相应的补丁。那些系统暴露在网络上因而所有未加管理的操作系统易受攻击。”

这会增添很多风险:运行非法虚拟机的机器可能会传播病毒。更糟糕的是,可能还会传播到物理网络上。举例说,有些人就很容易加载DHCP服务器以便分配虚假 IP地址。这实际上就是一种拒绝服务攻击。至少,会把IT资源浪费在查明问题上。甚至有可能是简单的用户错误,也会给网络带来不必要的负担。

那么如何防范非法虚拟机呢?首先应当加以控制,规定谁可以获得VMwareWorkstation(因为创建虚拟机需要它)。IT部门还可以使用群组安全策略来防止某些可执行程序运行,比如安装VMPlayer所需的可执行程序。另一个选择是,定期审查用户的硬驱。需要找出装有虚拟机的机器,然后标记出来,以便IT部门采取适当行动。

这是不是已成了用户和IT部门之间的另一个争论点—精通技术的用户需要在公司能像在家里那样使用虚拟机?Wolf说还没有。他说:“大部分IT部门对此置之不理。”

如果允许用户在电脑上运行虚拟机,VMware的Lab Manager及其他管理工具可以帮助IT部门控制及监管这些虚拟机。

十 做好虚拟化安全预算

IDC的Elliott说:“确保分配好虚拟化安全和管理方面的预算。”ArchCoal公司的Abbene指出,可能不需要在安全预算中为虚拟化安全单列预算,但全部安全预算最好为它留出足够多的资金。

另外,在估算虚拟化的投资回报时要留意安全成本。Hoff指出,对越来越多的服务器进行虚拟化处理,并不会使安全开支有所降低,因为需要运用现有的安全工具来管理每个虚拟机。如果没有预料到这笔开支,可能会减少投资回报。

据Gartner声称,这是目前常犯的一个错误。据Gartner的副总裁NeilMacDonald声称,到2009年,部署的虚拟化技术大约有90%会面临未预料到的成本,比如安全成本等,这会影响投资回报。

【编辑推荐】

本文由澳门新萄京官方网站发布于服务器运维,转载请注明出处:澳门新萄京官方网站:设想化管理程序待完备,

关键词: