虛擬基礎(chǔ)架構(gòu)帶來(lái)新的復(fù)雜性和流動(dòng)性的挑戰(zhàn)，即復(fù)雜的安全規(guī)劃和威脅限制關(guān)鍵負(fù)載虛擬化業(yè)務(wù)速率。我們認(rèn)為，現(xiàn)在要求一個(gè)成熟的虛擬化管理，需要向前邁進(jìn)，新的管理工具需要通過(guò)自動(dòng)化重點(diǎn)強(qiáng)調(diào)控制和優(yōu)化率。

服務(wù)器負(fù)載虛擬化在企業(yè)的第十年已經(jīng)達(dá)到了一個(gè)拐點(diǎn)。由于快速增長(zhǎng)和日益復(fù)雜的虛擬化基礎(chǔ)設(shè)施，已經(jīng)不能繼續(xù)節(jié)省物理服務(wù)器整合的資本支出，早期的IT運(yùn)營(yíng)效率也處于風(fēng)險(xiǎn)之中。此外，關(guān)鍵業(yè)務(wù)生產(chǎn)應(yīng)用-在未來(lái)的虛擬化前沿-要求更高水平的服務(wù)和嚴(yán)格的安全和法規(guī)監(jiān)督，IT運(yùn)營(yíng)團(tuán)隊(duì)受到了更深層次的挑戰(zhàn)。

虛擬安全危機(jī)：誰(shuí)在控制您的虛擬機(jī)?

虛擬化的下一階段是關(guān)于控制與效率，性能和靈活性的問(wèn)題。 現(xiàn)在需要的是的管理解決方案是——超出現(xiàn)有庫(kù)存工具的“指揮和控制”管理解決方案。 為了使工作負(fù)載虛擬化更快更多，同時(shí)保護(hù)回報(bào)，下一代工具需要解決訪問(wèn)控制，政策執(zhí)行，配置控制和活動(dòng)記錄的問(wèn)題。

在今后的十年，將是虛擬化技術(shù)逐步成熟的階段，同時(shí)也成為一個(gè)核心的數(shù)據(jù)中心基礎(chǔ)設(shè)施層;在許多方面，一個(gè)新的操作系統(tǒng)涵蓋每一個(gè)應(yīng)用層的堆疊，影響服務(wù)器及工作負(fù)載管理的所有方面。

Taneja集團(tuán)的研究顯示，美國(guó)大中型企業(yè)中，18%--25%的應(yīng)用負(fù)載是虛擬的。計(jì)劃到2012年底，虛擬化達(dá)到25%。 到目前為止，大多數(shù)虛擬化負(fù)載位于第二層或更低層，但顯然現(xiàn)在的趨勢(shì)是Tier 1，關(guān)鍵業(yè)務(wù)負(fù)載虛擬化。 事實(shí)上，超過(guò)70%的企業(yè)調(diào)查報(bào)告顯示，他們不僅對(duì)于部署關(guān)鍵應(yīng)用共享、虛擬服務(wù)器很滿意，而且也很積極的部署這些。

虛擬化轉(zhuǎn)型的副作用：失去控制

服務(wù)器虛擬化的大量增長(zhǎng)和任何對(duì)數(shù)據(jù)中心具有破壞性的技術(shù)，最終被管理和控制進(jìn)程所帶來(lái)的影響所限制。

管理員正面臨著虛擬主機(jī)和虛擬機(jī)的爆炸增長(zhǎng)，監(jiān)測(cè)工具和特設(shè)控制過(guò)程也還不成熟。 庫(kù)存管理更加困難，利用率也很低或配置了過(guò)多的虛擬機(jī)——這些都是虛擬機(jī)無(wú)序擴(kuò)張的標(biāo)志。

同時(shí)，從從非關(guān)鍵任務(wù)到第一層關(guān)鍵任務(wù)，負(fù)載的轉(zhuǎn)移操作需要操作團(tuán)隊(duì)額外的監(jiān)督,這樣大大降低了效率。關(guān)鍵任務(wù)負(fù)載取決于一致、強(qiáng)迫服務(wù)器配置的敏感數(shù)據(jù)，這些數(shù)據(jù)通常是企業(yè)，行業(yè)或政府規(guī)章的敏感數(shù)據(jù)。如果沒(méi)有足夠的，強(qiáng)迫的安全控制，合規(guī)風(fēng)險(xiǎn)將持續(xù)上升，理想的情況是，隨著額外負(fù)載虛擬化，合規(guī)風(fēng)險(xiǎn)也更多的得到控制。

IT運(yùn)營(yíng)方面的虛擬化的影響比理論上更值得關(guān)注。根據(jù)Taneja Group研究大中型企業(yè)資源共享顯示， 89%的數(shù)據(jù)中心經(jīng)理表示由于虛擬管理工具和進(jìn)程的局限性，管理員浪費(fèi)了很多時(shí)間。其中，有一半表示至少有10%的管理員時(shí)間浪費(fèi)掉了，五分之一的報(bào)告顯示效率減少了25%甚至更多。

我們認(rèn)為，大多數(shù)企業(yè)現(xiàn)在剛剛達(dá)到這個(gè)轉(zhuǎn)折點(diǎn)。在影響企業(yè)用戶(hù)的信心或嚴(yán)重削弱IT有效管理虛擬化之前，解決安全和控制問(wèn)題是很好的機(jī)會(huì)。

更好的控制虛擬環(huán)境：虛擬基礎(chǔ)設(shè)施的安全要點(diǎn)

虛擬化平臺(tái)優(yōu)化應(yīng)針對(duì)全面安全和控制策略解決四個(gè)主要組成部分：訪問(wèn)控制，政策執(zhí)行，配置控制和日志。 這些內(nèi)每?jī)?yōu)化必須利用現(xiàn)有的安全基礎(chǔ)設(shè)施，充實(shí)新的虛擬化意識(shí)的功能，使高層次的自動(dòng)化它。 優(yōu)化我們的建議包括：

*訪問(wèn)控制和作用：集中和合理化訪問(wèn)方法，以減少冗余和效率低下;提供更好的粒度，以適應(yīng)新的虛擬資源類(lèi)型，用戶(hù)角色和訪問(wèn)協(xié)議。

*對(duì)象和安全政策：簡(jiǎn)化政策的制定和修改過(guò)程;支持進(jìn)口/出口政策，利用就地目錄服務(wù)器和虛擬基礎(chǔ)設(shè)施的庫(kù)存/拓?fù)?用戶(hù)描述數(shù)據(jù)，通過(guò)標(biāo)簽改進(jìn)移動(dòng)/瞬態(tài)虛擬資源的可見(jiàn)度。

*配置控制：支持行業(yè)標(biāo)準(zhǔn)和第三方評(píng)估框架結(jié)構(gòu);監(jiān)測(cè)作用和對(duì)象的所有配置更改;通過(guò)不斷追蹤配置的變化，改進(jìn)響應(yīng)時(shí)間;減少通過(guò)自動(dòng)修復(fù)合規(guī)風(fēng)險(xiǎn)。

*記錄和法規(guī)遵從：為快速法規(guī)分析提供連續(xù)，綜合和粒狀的記錄;支持特定用戶(hù)記錄日志;利用就地活動(dòng)日志和系統(tǒng)日志記錄工具;通過(guò)實(shí)時(shí)監(jiān)控減少合規(guī)風(fēng)險(xiǎn)和警報(bào)。

這些改進(jìn)將使虛擬化數(shù)據(jù)中心達(dá)到和主要的物理架構(gòu)同樣水平的操作便捷和法規(guī)遵從。

虛擬化支持團(tuán)隊(duì)?wèi)?yīng)該在哪里尋求解決辦法?首先，它必須認(rèn)識(shí)到，安全性和控制是必要的-而不是可選的， 法規(guī)遵從也是廣泛的，而且是在不斷增長(zhǎng)的，影響了各種規(guī)模的企業(yè)，大部分行業(yè)(HIPAA法案，Sarbanes – Oxley PCI DSS等)。 如果您的數(shù)據(jù)或程序，現(xiàn)在不受外部合規(guī)的審查，他們很可能會(huì)在不久的將來(lái)受到審查。 因此，每個(gè)供應(yīng)商的業(yè)務(wù)重點(diǎn)在任何情況下都應(yīng)該是：安全知識(shí)，專(zhuān)業(yè)知識(shí)和法規(guī)遵從。

此外，應(yīng)該理解由負(fù)載虛擬化平臺(tái)供應(yīng)商提供的安全能力的限制。 一般來(lái)說(shuō)，他們的目的是使第三方增加有價(jià)值的安全解決方案，而不是取代它們。例如，VMware提供VMsafe技術(shù)，用于更深入的檢查和加強(qiáng)控制虛擬，支持第三方入侵檢測(cè)，防病毒和相關(guān)解決方案。 VMware還有一個(gè)硬化指導(dǎo)手冊(cè)，記錄了安全配置虛擬機(jī)的最佳做法。 這兩個(gè)產(chǎn)品增強(qiáng)了平臺(tái)可視性和控制性，但不不是完整的安全解決方案。