在虛擬化環(huán)境中運(yùn)行SQL Server的數(shù)據(jù)庫管理員(DBA)們往往最擔(dān)心的就是安全問題,但根據(jù)專家的觀點(diǎn),其實(shí)并無必要。SQL Server在虛擬化世界中的安全問題與傳統(tǒng)數(shù)據(jù)庫環(huán)境的安全挑戰(zhàn)并無太多差異。
按照經(jīng)驗(yàn)來看,SQL Server往往是最后一個(gè)進(jìn)行虛擬化的應(yīng)用,主要是因?yàn)镈BA在這個(gè)領(lǐng)域并不熟悉,把一個(gè)極為關(guān)鍵的應(yīng)用放到虛擬化環(huán)境中,很有可能會(huì)造成性能方面的瓶頸,更不用說還有安全性問題需要解決。
虛擬化的優(yōu)勢(shì)主要在于削減硬件需求,減少停機(jī)時(shí)間并易于維護(hù),此外還可以降低數(shù)據(jù)中心的電力和制冷需求。出于成本的考慮,這對(duì)于一個(gè)企業(yè)來說是非常具有吸引力的,因此用戶都在尋求為SQL Server數(shù)據(jù)庫實(shí)施虛擬化的部署。
SQL Server咨詢顧問Denny Cherry在他的書中提到:“針對(duì)安全問題,虛擬化并不會(huì)帶給企業(yè)更多的挑戰(zhàn),因?yàn)槟愕腟QL Server運(yùn)行在Windows服務(wù)器上,而其他底層在運(yùn)行hypervisor。虛擬SQL Server和物理SQL Server是沒有區(qū)別的,所以我們所熟悉的SQL Server最佳實(shí)踐還是成立的。”
在某種程度上,這種安全性的憂慮源自于缺乏對(duì)虛擬化環(huán)境的了解,認(rèn)為添加額外層會(huì)將安全性復(fù)雜化,SQL Server架構(gòu)更容易被暴露在外部。這其實(shí)是一個(gè)嚴(yán)重的誤區(qū)。
事實(shí)上,專家認(rèn)為無論是虛擬化SQL Server還是物理SQL Server,其安全性挑戰(zhàn)都存在,并無太大差別。獨(dú)立咨詢顧問Brent Ozar表示:“如果你使用SAN,那數(shù)據(jù)就會(huì)存儲(chǔ)在共享的設(shè)備上,如果SAN管理員想要把數(shù)據(jù)拷貝出去的話,那他只需要做一個(gè)快照就可以了。像這樣的安全性問題,無論是虛擬化環(huán)境中還是物理環(huán)境中,都一樣存在。”
標(biāo)準(zhǔn)的安全性準(zhǔn)則
農(nóng)業(yè)信貸銀行AgFirst并沒有讓安全性成為阻礙部署SQL Server虛擬化環(huán)境的問題。他們?cè)谒械膽?yīng)用上幾乎都是用了虛擬化技術(shù),該公司的數(shù)據(jù)庫架構(gòu)師K。Brian Kelley介紹,公司使用虛擬化技術(shù)主要是為了尋求一個(gè)高可用的解決方案,特別是準(zhǔn)對(duì)那些小型的SQL Server數(shù)據(jù)庫,公司不希望花太多錢在購買硬件服務(wù)器上。
Kelley說:“一些人認(rèn)為虛擬化會(huì)降低系統(tǒng)的安全性,這其實(shí)是錯(cuò)覺。SQL Server安全最薄弱的環(huán)節(jié)在于操作系統(tǒng)或者部署在它之上的應(yīng)用程序,這與虛擬化環(huán)境還是物理環(huán)境并無關(guān)系。”
無論哪種環(huán)境,要確保SQL Server安全性的最佳方法,就是制定一系列標(biāo)準(zhǔn)的安全準(zhǔn)則。在物理環(huán)境中,網(wǎng)絡(luò)管理員和DBA需要定期檢查哪些人員訪問了數(shù)據(jù)中心,針對(duì)虛擬化環(huán)境依然如此,管理員需要定期檢查誰訪問虛擬服務(wù)器。但有這樣一個(gè)問題需要注意,能夠進(jìn)入數(shù)據(jù)中心接觸到物理服務(wù)器的人畢竟是少數(shù),而能夠訪問虛擬服務(wù)器的人會(huì)更多。
Ozar認(rèn)為,無論物理環(huán)境還是虛擬環(huán)境,還有大量的DBA在進(jìn)行SQL Server安全性保護(hù)工作時(shí),并沒有制定一個(gè)清晰標(biāo)準(zhǔn)的安全準(zhǔn)則。而且在細(xì)微的地方做的還不夠,DBA需要想清楚所有的安全隱患,并一一“對(duì)癥下藥”.他說:“想一想,如果有人明天偷走了你的備份磁帶會(huì)是怎樣?如果這個(gè)問題很嚴(yán)重的話,那么你就需要對(duì)所有的數(shù)據(jù)進(jìn)行加密,當(dāng)然可以使用SQL Server自帶的透明數(shù)據(jù)加密功能,對(duì)于虛擬化環(huán)境依然是如此。DBA需要加強(qiáng)對(duì)SQL Server的安全防范意識(shí)。”
京公網(wǎng)安備 11010502049343號(hào)