《企業(yè)網(wǎng)D1Net》2月11日訊

如今，虛擬化技術(shù)已經(jīng)成為IT領(lǐng)域不可或缺的技術(shù)之一，科技領(lǐng)域已經(jīng)置身于虛擬化的環(huán)境之中，與此同時(shí)，隨著軟件定義網(wǎng)絡(luò)（簡(jiǎn)稱(chēng)SDN）陣營(yíng)的不斷發(fā)展壯大，關(guān)于將全部用戶網(wǎng)絡(luò)設(shè)備替換為虛擬方案的討論也開(kāi)始成為重點(diǎn)議題并受到業(yè)界的廣泛關(guān)注。

筆者針對(duì)這方面爭(zhēng)論提出了一個(gè)問(wèn)題：安裝有虛擬機(jī)管理程序的計(jì)算節(jié)點(diǎn)是否已經(jīng)擁有足夠完善的安全機(jī)制，從而根本不同安全級(jí)別對(duì)各虛擬機(jī)系統(tǒng)加以隔離？

多層應(yīng)用程序當(dāng)中的不同組件應(yīng)該采取差異化的安全要求。不過(guò)在他看來(lái)，在現(xiàn)有防火墻機(jī)制的支持之下、用戶完全可以考慮利用虛擬版本取代目前的網(wǎng)絡(luò)設(shè)備。

有鑒于此，我們是否需要解決虛擬機(jī)安全匱乏的問(wèn)題并為其選擇更具保障的主機(jī)托管方案？答案也許是肯定的，但實(shí)現(xiàn)這一目標(biāo)勢(shì)必需要投入大量資金。

各類(lèi)信譽(yù)良好的虛擬機(jī)管理程序都已經(jīng)在實(shí)踐中證明，要讓專(zhuān)用安全設(shè)備起到確切效果、每一位使用人員首先需要高度重視安全問(wèn)題。因此使用安全機(jī)制匱乏的虛擬機(jī)本身并不意味著我們的設(shè)置流程一定存在安全問(wèn)題。另外，安全機(jī)制調(diào)整的成本也不會(huì)太低：根據(jù)他的分析，大家在鞏固服務(wù)器安全性以及確保（安全性低下的）虛擬機(jī)只處理非關(guān)鍵性工作負(fù)載方面所投入的資源，已經(jīng)足以更購(gòu)買(mǎi)一到兩臺(tái)新服務(wù)器了。

首先，大家的數(shù)據(jù)肯定是要來(lái)自某處，對(duì)吧？各位的虛擬機(jī)也許與某種SAN機(jī)制相對(duì)接，這就要求我們對(duì)SAN進(jìn)行嚴(yán)格分區(qū)、否則所使用的SAN在與虛擬環(huán)境協(xié)作時(shí)將面臨崩潰的可能。另外，大家的網(wǎng)絡(luò)是否已經(jīng)做好了充分準(zhǔn)備？VLAN隔離呢？SR-IOV呢？如果大家真的希望讓自己的網(wǎng)絡(luò)跨越不同數(shù)據(jù)敏感級(jí)別，則必須將著眼點(diǎn)放得更遠(yuǎn)、而不能僅僅局限在虛擬機(jī)管理程序身上。也許管理程序本身反倒是最不需要關(guān)注的領(lǐng)域。”

當(dāng)然，SDN的設(shè)計(jì)目的在于幫助使用者更好地打理日常工作：例如大大簡(jiǎn)化VLAN管理并建立起速度更快、運(yùn)行更順暢的配置方案。有鑒于此，SDN很可能成為新型管理體制的有力推動(dòng)者，在這類(lèi)新型體制下、缺乏安全保障的虛擬機(jī)將能夠被定向至主機(jī)以及VLAN處，并在那里自由利用自有以及來(lái)自其它同類(lèi)系統(tǒng)中的計(jì)算資源——而且不至于衍生更多安全風(fēng)險(xiǎn)。如果能夠遵循這種處理思路，相信SDN完全值得一試。

D1Net評(píng)論：

SDN防火墻，宛如一劑猛藥，可以解決虛擬機(jī)安全匱乏的問(wèn)題，雖然SDN防火墻本身也存在很多不足的地方，需要自身不斷進(jìn)行技術(shù)完善，然而，在本質(zhì)屬性上，對(duì)于虛擬機(jī)安全匱乏問(wèn)題的解決是非常契合的。