虛擬基礎(chǔ)架構(gòu)帶來(lái)新的復(fù)雜性和流動(dòng)性的挑戰(zhàn),即復(fù)雜的安全規(guī)劃和威脅限制關(guān)鍵負(fù)載虛擬化業(yè)務(wù)速率。我們認(rèn)為,現(xiàn)在要求一個(gè)成熟的虛擬化管理,需要向前邁進(jìn),新的管理工具需要通過(guò)自動(dòng)化重點(diǎn)強(qiáng)調(diào)控制和優(yōu)化率。
服務(wù)器負(fù)載虛擬化在企業(yè)的第十年已經(jīng)達(dá)到了一個(gè)拐點(diǎn)。由于快速增長(zhǎng)和日益復(fù)雜的虛擬化基礎(chǔ)設(shè)施,已經(jīng)不能繼續(xù)節(jié)省物理服務(wù)器整合的資本支出,早期的IT運(yùn)營(yíng)效率也處于風(fēng)險(xiǎn)之中。此外,關(guān)鍵業(yè)務(wù)生產(chǎn)應(yīng)用-在未來(lái)的虛擬化前沿-要求更高水平的服務(wù)和嚴(yán)格的安全和法規(guī)監(jiān)督,IT運(yùn)營(yíng)團(tuán)隊(duì)受到了更深層次的挑戰(zhàn)。
虛擬安全危機(jī):誰(shuí)在控制您的虛擬機(jī)?
虛擬化的下一階段是關(guān)于控制與效率,性能和靈活性的問(wèn)題。 現(xiàn)在需要的是的管理解決方案是--超出現(xiàn)有庫(kù)存工具的“指揮和控制”管理解決方案。為了使工作負(fù)載虛擬化更快更多,同時(shí)保護(hù)回報(bào),下一代工具需要解決訪問(wèn)控制,政策執(zhí)行,配置控制和活動(dòng)記錄的問(wèn)題。
在今后的十年,將是虛擬化技術(shù)逐步成熟的階段,同時(shí)也成為一個(gè)核心的數(shù)據(jù)中心基礎(chǔ)設(shè)施層;在許多方面,一個(gè)新的操作系統(tǒng)涵蓋每一個(gè)應(yīng)用層的堆疊,影響服務(wù)器及工作負(fù)載管理的所有方面。
Taneja集團(tuán)的研究顯示,美國(guó)大中型企業(yè)中,18%--25%的應(yīng)用負(fù)載是虛擬的。計(jì)劃到2012年底,虛擬化達(dá)到25%.到目前為止,大多數(shù)虛擬化負(fù)載位于第二層或更低層,但顯然現(xiàn)在的趨勢(shì)是Tier 1,關(guān)鍵業(yè)務(wù)負(fù)載虛擬化。事實(shí)上,超過(guò)70%的企業(yè)調(diào)查報(bào)告顯示,他們不僅對(duì)于部署關(guān)鍵應(yīng)用共享、虛擬服務(wù)器很滿意,而且也很積極的部署這些。
虛擬化轉(zhuǎn)型的副作用:失去控制
服務(wù)器虛擬化的大量增長(zhǎng)和任何對(duì)數(shù)據(jù)中心具有破壞性的技術(shù),最終被管理和控制進(jìn)程所帶來(lái)的影響所限制。
管理員正面臨著虛擬主機(jī)和虛擬機(jī)的爆炸增長(zhǎng),監(jiān)測(cè)工具和特設(shè)控制過(guò)程也還不成熟。 庫(kù)存管理更加困難,利用率也很低或配置了過(guò)多的虛擬機(jī)--這些都是虛擬機(jī)無(wú)序擴(kuò)張的標(biāo)志。
同時(shí),從從非關(guān)鍵任務(wù)到第一層關(guān)鍵任務(wù),負(fù)載的轉(zhuǎn)移操作需要操作團(tuán)隊(duì)額外的監(jiān)督,這樣大大降低了效率。關(guān)鍵任務(wù)負(fù)載取決于一致、強(qiáng)迫服務(wù)器配置的敏感數(shù)據(jù),這些數(shù)據(jù)通常是企業(yè),行業(yè)或政府規(guī)章的敏感數(shù)據(jù)。如果沒(méi)有足夠的,強(qiáng)迫的安全控制,合規(guī)風(fēng)險(xiǎn)將持續(xù)上升,理想的情況是,隨著額外負(fù)載虛擬化,合規(guī)風(fēng)險(xiǎn)也更多的得到控制。
IT運(yùn)營(yíng)方面的虛擬化的影響比理論上更值得關(guān)注。根據(jù)Taneja Group研究大中型企業(yè)資源共享顯示,89%的數(shù)據(jù)中心經(jīng)理表示由于虛擬管理工具和進(jìn)程的局限性,管理員浪費(fèi)了很多時(shí)間。其中,有一半表示至少有10%的管理員時(shí)間浪費(fèi)掉了,五分之一的報(bào)告顯示效率減少了25%甚至更多。
我們認(rèn)為,大多數(shù)企業(yè)現(xiàn)在剛剛達(dá)到這個(gè)轉(zhuǎn)折點(diǎn)。在影響企業(yè)用戶的信心或嚴(yán)重削弱IT有效管理虛擬化之前,解決安全和控制問(wèn)題是很好的機(jī)會(huì)。
更好的控制虛擬環(huán)境:虛擬基礎(chǔ)設(shè)施的安全要點(diǎn)
虛擬化平臺(tái)優(yōu)化應(yīng)針對(duì)全面安全和控制策略解決四個(gè)主要組成部分:訪問(wèn)控制,政策執(zhí)行,配置控制和日志。 這些內(nèi)每?jī)?yōu)化必須利用現(xiàn)有的安全基礎(chǔ)設(shè)施,充實(shí)新的虛擬化意識(shí)的功能,使高層次的自動(dòng)化它。 優(yōu)化我們的建議包括:
訪問(wèn)控制和作用:集中和合理化訪問(wèn)方法,以減少冗余和效率低下;提供更好的粒度,以適應(yīng)新的虛擬資源類型,用戶角色和訪問(wèn)協(xié)議。
對(duì)象和安全政策:簡(jiǎn)化政策的制定和修改過(guò)程;支持進(jìn)口/出口政策,利用就地目錄服務(wù)器和虛擬基礎(chǔ)設(shè)施的庫(kù)存/拓?fù)?用戶描述數(shù)據(jù),通過(guò)標(biāo)簽改進(jìn)移動(dòng)/瞬態(tài)虛擬資源的可見(jiàn)度。
配置控制:支持行業(yè)標(biāo)準(zhǔn)和第三方評(píng)估框架結(jié)構(gòu);監(jiān)測(cè)作用和對(duì)象的所有配置更改;通過(guò)不斷追蹤配置的變化,改進(jìn)響應(yīng)時(shí)間;減少通過(guò)自動(dòng)修復(fù)合規(guī)風(fēng)險(xiǎn)。
記錄和法規(guī)遵從:為快速法規(guī)分析提供連續(xù),綜合和粒狀的記錄;支持特定用戶記錄日志;利用就地活動(dòng)日志和系統(tǒng)日志記錄工具;通過(guò)實(shí)時(shí)監(jiān)控減少合規(guī)風(fēng)險(xiǎn)和警報(bào)。
這些改進(jìn)將使虛擬化數(shù)據(jù)中心達(dá)到和主要的物理架構(gòu)同樣水平的操作便捷和法規(guī)遵從。
虛擬化支持團(tuán)隊(duì)?wèi)?yīng)該在哪里尋求解決辦法?首先,它必須認(rèn)識(shí)到,安全性和控制是必要的-而不是可選的,法規(guī)遵從也是廣泛的,而且是在不斷增長(zhǎng)的,影響了各種規(guī)模的企業(yè),大部分行業(yè)(HIPAA法案,Sarbanes-Oxley PCI DSS等)。如果您的數(shù)據(jù)或程序,現(xiàn)在不受外部合規(guī)的審查,他們很可能會(huì)在不久的將來(lái)受到審查。因此,每個(gè)供應(yīng)商的業(yè)務(wù)重點(diǎn)在任何情況下都應(yīng)該是:安全知識(shí),專業(yè)知識(shí)和法規(guī)遵從。
此外,應(yīng)該理解由負(fù)載虛擬化平臺(tái)供應(yīng)商提供的安全能力的限制。一般來(lái)說(shuō),他們的目的是使第三方增加有價(jià)值的安全解決方案,而不是取代它們。例如,VMware提供VMsafe技術(shù),用于更深入的檢查和加強(qiáng)控制虛擬,支持第三方入侵檢測(cè),防病毒和相關(guān)解決方案。VMware還有一個(gè)硬化指導(dǎo)手冊(cè),記錄了安全配置虛擬機(jī)的最佳做法。這兩個(gè)產(chǎn)品增強(qiáng)了平臺(tái)可視性和控制性,但不不是完整的安全解決方案。