虛擬化在IT領域中所覆蓋的范圍很廣。在“一個應用,一個服務器”這一規則引領多年后,IT架構的容量已經不再能滿足需求,而且也不具有成本效益。隨著虛擬化的興起,以及在單個服務器上托管多個虛擬機的趨勢,很多與之相關的問題也顯現出來。
由于多個虛擬機可以放到單個服務器上,IT組織就可以確定該機器的處理能力被分配到了多個應用上。通常以單個字節來衡量的利用率可增加到70%甚至更多,這樣就確保了高成本,低利用率服務器上的浪費情況比較少。
虛擬化的轉變也經歷了所謂的“虛擬化停滯”。這是指許多企業在對25%的服務器完成虛擬化后,就停止了虛擬化的步伐。
當你研究造成這種現象的原因時,通常回發現這種虛擬化只是將所有簡單的服務器進行虛擬化操作(例如,dev機器或低風險的內部IT應用,如DNS)但是沒能成功對其生產應用進行虛擬化操作。
造成這種停滯的原因很多,但是其中很重要的一點就是安全因素。安全團隊不確定要如何將為物理環境設計的實例應用到虛擬環境中。雖然存在這樣的疑惑,但是其方向還是明確的:安全實例必須得到更新以打破虛擬化停滯不前的僵局。
下面是虛擬化過程中,安全組織面臨的三個最常見問題:
1、網絡流量可視性的缺乏
許多安全組織用監控網絡流量的方式來識別和攔截惡意流量以及滲透。供應商也發布了專用裝置來執行監控以減輕安裝和配置過程中的壓力。將這些裝置安裝到網絡上就如同安裝到另一個服務器上一樣,只需啟用這些裝置然后以小時或以日為單位來運行。這種方法簡化了安全實例的執行過程,而且是硬件受限的安全團隊和IT運營團隊的福音。
只是,這種方法在虛擬環境的應用還存在一個問題。同一個服務器上的不同虛擬機都是通過hypervisor的內聯網來溝通,安全裝置所在的物理網絡上沒有數據包傳輸。當然,如果虛擬機被放置到不同服務器上,那么內部虛擬機流量就會在其網絡上傳輸,從而可以被檢測到。不過,出于性能方面的考慮,與相同應用相關聯的虛擬機(例如,一個應用的Web服務器和數據庫服務器)通常都位于同一個物理服務器上。
幸好,供應商已經想到辦法解決這個問題。虛擬化供應商已經在其hypervisor中放入了hook,而思科和Arista等網絡供應商已經習慣將其與虛擬機合用,以此實現流量監測。所以,這個問題也變得不再糾結,盡管它要求升級到目前的網絡交換方法,而且安全產品也要較新的模式。你可以將這話理解為需要更多的資金投入。不過,單單缺乏可視性還不足以讓企業推遲生產應用的虛擬化操作。
2、性能對安全經費的影響
在單個服務器上支持多個虛擬機的好處對于服務器制造商而言已經變得非常明顯,他們也隨之修改了自己的服務器設計。和以前能支持五個虛擬機的的1U機器不同,現在的4U刀片服務器具備幾百G的緩存和大量網卡。因此,服務器現在通常可支持25或50個虛擬機。成本效益和利用率非常高,但是在單個服務器上托管如此多的虛擬機也可能導致其他問題。
每個服務器只管理自己的安全產品,由此便導致了一些常見問題。典型的例子就是反病毒。在許多IT組織中,每個服務器都是同時更新自己的反病毒簽名,這樣就導致25或50個虛擬機同時發布相同操作。所以會導致傳輸量降低,從而影響服務器性能。
幸好,有新的技術性方案可用。第一,就好比虛擬化供應商開放API,允許網絡供應商整合到hypervisor,他們現在也開放了API讓安全公司推出不需要安裝到每個虛擬機上的新產品。相反,這類產品本身就是虛擬機。
當hypervisor意識到流量需要調用一個反病毒項目的時候,就會把調用轉發到虛擬機的反病毒軟件上,再由虛擬機執行掃描。這樣就避免了25臺機器同時進行反病毒操作,一臺虛擬機代表25臺機器運行反病毒顯然是更好的方法。
或許你猜得到第二個方法是以云為基礎。類似對文檔的重復反病毒掃描等操作需要發布成千上萬個反病毒簽名文件,為什么不讓上百萬端點調用一個位于中央位置的以云為基礎的方案呢?供應商可以確保其有足夠的資源來控制流量,而用戶則可以避免性能方面的問題,且不需要在安全軟件方面投入更多資本。這種方法帶來了顯著效益,而且我們在不久的將來會聽到更多以云為基礎的安全方案。
3、周邊被破壞
一月在華盛頓特區召開的安全威脅會議上談到的一個主題就是認為自己的周邊不會被滲透的想法是愚蠢的。有組織犯罪團體的崛起以及幕后有政府支持的黑客都使得這種定向攻擊極其復雜。
互聯網安全聯盟CEO Larry Clinton提供了一些有關安全威脅及其影響的統計數據,統計結果令人感到害怕。簡而言之,目前的安全方法都不能滿足需求。不法分子可以安裝長期運行的僵尸程序,令其對服務器的數據進行篩選,從而識別和竊取重要數據。也可以理解為我們所說的APT。
那該如何是好?
當然,可以整合專門的安全產品層來解決APT威脅。新舊供應商都想向你售賣針對APT的安全產品。筆者并非貶低這些產品,只是這類威脅會增加安全實例在個人服務器或VM級別(換言之是安全在實例級別)的重要性,你應該進行整體監控并使用入侵防御系統。
將這些產品都放到一個虛擬機上與“把安全放到虛擬機外”的方法不相符,當然,也有更好的想法:只能在機器上執行的安全應該位于機器上,同時可通過若干機器共享的安全應該遷移到中心位置。安全工作向來就是平衡各方面的利弊。
小結:虛擬化經濟意味著這種運算模式有望得到廣泛傳播,想要阻止這種趨勢的人猶如螳臂當車。
京公網安備 11010502049343號