盡管虛擬化使新工作負載部署變得簡單起來，但虛擬服務器卻面臨著安全性及合規性問題。實際上，為某些組織帶來虛擬化價值的很多功能特性卻給其他組織帶來了問題。本月我們向咨詢委員會詢問了當前虛擬數據中心在安全性以及合規性上面臨的最大的挑戰有哪些，以及如何應對這些挑戰。

如何應對虛擬服務器的安全性及合規性挑戰

Maish Saidel-Keesing, Cisco Video Technologies Israel

以前如果你想創建一個新負載，需要提出采購請求，提出服務器的規格要求，在采購后完成安裝調試。目前自服務是主旋律，只要點幾下按鈕就行了。

簡便性帶來了對虛擬服務器安全性的關注。在過去IT對工作負載的部署位置以及如何被保護擁有控制權。現在對公司提供安全性保護同時仍舊能夠自由、靈活的完成工作是個問題。

當前保護數據最大的關注點是使用方便。

如何解決這一潛在的安全性問題?完全限制最終用戶不是個解決方案。如果IT采用該方式，最終用戶將會完全繞過IT，轉向外部服務商，然后IT就會失去控制了。

我認為解決方案應該是在IT與最終用戶之間找到教育與協作的結合點。確保最終用戶對公司的信息負責并確保信息安全是保護公司數據的關鍵所在。

Jack Kaiser, Focus Technology Solutions

本月我就這個問題咨詢了CTO Bill Smeltzer。

“當前虛擬數據中心面臨的一大挑戰就是工作負載細分。當我們持續將工作負載遷移到通用的基礎設施之上，開始混合之前孤立在物理數據中心內的不同負載。過去我們將面向公眾的服務器放在單獨的網絡中，通過防火墻與其他服務器進行隔離。這很容易實現因為在傳統的數據中心內每臺物理服務器將會連接到適宜的網絡。”

“在虛擬數據中心，物理服務器運行多個工作負載并共享通用的網絡接口。當工作負載在不同的物理機之間遷移時記錄網絡規則及設置變得很困難。在對安全性非常關注的環境中，審計以及確保合規性變得越來越困難。軟件定義的網絡通過直接在工作負載或者虛擬機而不是網絡設備上應用網絡安全性為緩解對虛擬服務器安全性的關注提供了幫助。使用軟件定義的網絡，無論工作負載如何移動，我們都能夠確保足夠的安全性，為實現合規性提供幫助。”

Jason Helmick, Concentrated Technology LLC

所有的IT專家都能夠構建并部署一臺安全的服務器以滿足公司對合規性的要求。這不是什么問題。已經有工具能夠幫助你交付針對安全性以及合規性的升級，這也沒什么問題。真正的問題是確保服務器以及客戶端始終符合規范，配置符合要求。

有很多其他的系統管理員在訪問并修改服務器，將會出現非合規性(沒有采用期望的軟件配置及安全性設置等等)。一旦放虎歸山，很難再把它關回到籠子里。

如果提前做了規劃，就能夠避免該問題。沒有特別的推薦工具，Unix/Linux用戶一直在使用工具比如Puppet、Chef來對系統進行檢查以確保滿足特定的配置要求以及規范、指南的集合。如果你有Unix/Linux服務器，可能已經使用過上述工具了。

盡管像微軟的Window Intune這樣的工具能夠提供幫助，但Windows在這方面一直落后。Windows操作系統通過PowerShell V4 引入的一個新技術開始提供你所需要的解決方案。特定狀態配置(DSC)是該版塊的新產品，但能夠提供你一直期待的自動化以及毫不費力的控制。

確保合規性及安全性的一個關鍵之處就是把所有的老虎關進籠子里并且不會隨著時間的推移有所放松、退化。如果你在使用Windows，可以了解下DSC。DSC是一門新技術而且可能還不能滿足所有的需求，但是社區一直在推動DSC的發展，因此自動實現服務器特定狀態并持續保持變為了現實。通過避免人為錯誤并采取所期望的安全性設置將能夠改進虛擬服務器的安全性及合規性。