打破虚拟化停滞僵局 虚拟化安全3个因素

本文讲的是打破虚拟化停滞僵局 虚拟化安全3个因素,虚拟化在IT领域中所覆盖的范围很广。在“一个应用,一个服务器”这一规则引领多年后,IT架构的容量已经不再能满足需求,而且也不具有成本效益。随着虚拟化的兴起,以及在单个服务器上托管多个虚拟机的趋势,很多与之相关的问题也显现出来。

  由于多个虚拟机可以放到单个服务器上,IT组织就可以确定该机器的处理能力被分配到了多个应用上。通常以单个字节来衡量的利用率可增加到70%甚至更多,这样就确保了高成本,低利用率服务器上的浪费情况比较少。

  虚拟化的转变也经历了所谓的“虚拟化停滞”。这是指许多企业在对25%的服务器完成虚拟化后,就停止了虚拟化的步伐。

  当你研究造成这种现象的原因时,通常回发现这种虚拟化只是将所有简单的服务器进行虚拟化操作(例如,dev机器或低风险的内部IT应用,如DNS)但是没能成功对其生产应用进行虚拟化操作。

  造成这种停滞的原因很多,但是其中很重要的一点就是安全因素。安全团队不确定要如何将为物理环境设计的实例应用到虚拟环境中。虽然存在这样的疑惑,但是其方向还是明确的:安全实例必须得到更新以打破虚拟化停滞不前的僵局。

  下面是虚拟化过程中,安全组织面临的三个最常见问题:

  1、网络流量可视性的缺乏

  许多安全组织用监控网络流量的方式来识别和拦截恶意流量以及渗透。供应商也发布了专用装置来执行监控以减轻安装和配置过程中的压力。将这些装置安装到网络上就如同安装到另一个服务器上一样,只需启用这些装置然后以小时或以日为单位来运行。这种方法简化了安全实例的执行过程,而且是硬件受限的安全团队和IT运营团队的福音。

  只是,这种方法在虚拟环境的应用还存在一个问题。同一个服务器上的不同虚拟机都是通过hypervisor的内联网来沟通,安全装置所在的物理网络上没有数据包传输。当然,如果虚拟机被放置到不同服务器上,那么内部虚拟机流量就会在其网络上传输,从而可以被检测到。不过,出于性能方面的考虑,与相同应用相关联的虚拟机(例如,一个应用的Web服务器和数据库服务器)通常都位于同一个物理服务器上。

  幸好,供应商已经想到办法解决这个问题。虚拟化供应商已经在其hypervisor中放入了hook,而思科和Arista等网络供应商已经习惯将其与虚拟机合用,以此实现流量监测。所以,这个问题也变得不再纠结,尽管它要求升级到目前的网络交换方法,而且安全产品也要较新的模式。你可以将这话理解为需要更多的资金投入。不过,单单缺乏可视性还不足以让企业推迟生产应用的虚拟化操作。

  2、性能对安全经费的影响

  在单个服务器上支持多个虚拟机的好处对于服务器制造商而言已经变得非常明显,他们也随之修改了自己的服务器设计。和以前能支持五个虚拟机的的1U机器不同,现在的4U刀片服务器具备几百G的缓存和大量网卡。因此,服务器现在通常可支持25或50个虚拟机。成本效益和利用率非常高,但是在单个服务器上托管如此多的虚拟机也可能导致其他问题。

  每个服务器只管理自己的安全产品,由此便导致了一些常见问题。典型的例子就是反病毒。在许多IT组织中,每个服务器都是同时更新自己的反病毒签名,这样就导致25或50个虚拟机同时发布相同操作。所以会导致传输量降低,从而影响服务器性能。

  幸好,有新的技术性方案可用。第一,就好比虚拟化供应商开放API,允许网络供应商整合到hypervisor,他们现在也开放了API让安全公司推出不需要安装到每个虚拟机上的新产品。相反,这类产品本身就是虚拟机。

  当hypervisor意识到流量需要调用一个反病毒项目的时候,就会把调用转发到虚拟机的反病毒软件上,再由虚拟机执行扫描。这样就避免了25台机器同时进行反病毒操作,一台虚拟机代表25台机器运行反病毒显然是更好的方法。

  或许你猜得到第二个方法是以云为基础。类似对文档的重复反病毒扫描等操作需要发布成千上万个反病毒签名文件,为什么不让上百万端点调用一个位于中央位置的以云为基础的方案呢?供应商可以确保其有足够的资源来控制流量,而用户则可以避免性能方面的问题,且不需要在安全软件方面投入更多资本。这种方法带来了显著效益,而且我们在不久的将来会听到更多以云为基础的安全方案。

  3、周边被破坏

  一月在华盛顿特区召开的安全威胁会议上谈到的一个主题就是认为自己的周边不会被渗透的想法是愚蠢的。有组织犯罪团体的崛起以及幕后有政府支持的黑客都使得这种定向攻击极其复杂。

  互联网安全联盟CEO Larry Clinton提供了一些有关安全威胁及其影响的统计数据,统计结果令人感到害怕。简而言之,目前的安全方法都不能满足需求。不法分子可以安装长期运行的僵尸程序,令其对服务器的数据进行筛选,从而识别和窃取重要数据。也可以理解为我们所说的APT。

  那该如何是好?

  当然,可以整合专门的安全产品层来解决APT威胁。新旧供应商都想向你售卖针对APT的安全产品。笔者并非贬低这些产品,只是这类威胁会增加安全实例在个人服务器或VM级别(换言之是安全在实例级别)的重要性,你应该进行整体监控并使用入侵防御系统。

  将这些产品都放到一个虚拟机上与“把安全放到虚拟机外”的方法不相符,当然,也有更好的想法:只能在机器上执行的安全应该位于机器上,同时可通过若干机器共享的安全应该迁移到中心位置。安全工作向来就是平衡各方面的利弊。

  小结:虚拟化经济意味着这种运算模式有望得到广泛传播,想要阻止这种趋势的人犹如螳臂当车。

作者:vivian

来源:it168网站

原文标题:打破虚拟化停滞僵局 虚拟化安全3个因素

时间: 2024-10-24 06:07:17

打破虚拟化停滞僵局 虚拟化安全3个因素的相关文章

服务器虚拟化 破解存储虚拟化困局

从CPU.内存.主板到服务器,当越来越多的IT系统核心构件选择投身虚拟化阵营时,谁将是虚拟化阵营的下一个受益者?从目前的发展态势看,服务器虚拟化渐成主流,存储极有可能成为下一个因虚拟化而发生重要变革的IT构件. 叫好不叫座 事实上,存储虚拟化的概念并不新鲜,它是伴随大型计算机的发展而出现的一个经典概念.早在上世纪70年代,由于当时存储设备的容量小.价格高,大型应用程序或多程序应用都受到了极大的限制.为克服这一局面,人们开始采用存储虚拟化技术. 随着需求的增长与技术的进步,存储虚拟化被赋予新的内涵

服务器虚拟化的必须考虑的十大因素

本文讲解的是服务器虚拟化的十大必须考虑因素. 本文讲解的是服务器虚拟化的十大必须考虑因素. 1. 性能 为什么处理损耗如此重要?因为它影响应用程序的性能,并最终影响客户的满意程度.如果虚拟化基础架构的处理损耗较高,只能运行非产品级或不太重要的应用服务.由于产品不同,虚拟化解决方案的处理损耗从1%到60%.虚拟化应用程序的运行效率差异很大,有的能够做到接近原始物理环境下运行的效率,有的则低劣到用户难以接受的程度.同一虚拟化技术路线的不同产品性能也有很大差异,但通常来说,虚拟化硬件会造成较大的性能损

服务器 终端-服务器虚拟化、终端虚拟化

问题描述 服务器虚拟化.终端虚拟化 请教,服务器虚拟化与终端虚拟化的区别在于什么地方?如用能作个直白地示教授,不慎感激!

存储虚拟化与服务器虚拟化相辅相成

   服务器虚拟化技术为企业带来的利益体现在两个方面:首先,通过对物理服务器和遗留存储平台的整合,提高了现有硬件和软件的利用率,避免了新一轮的采购,从而提高投资回报率(ROI);其次,虚拟化能提高IT系统的灵活性. 毫无疑问,服务器虚拟化技术对企业IT运营发挥着积极的影响.然而随着服务器虚拟化的快速普及,成功的背后也暴露出一些棘手的运营挑战:服务器整合率逐渐达到极限,虚拟服务器蔓延已成为威胁,并直接威胁到成本优势甚至导致成本效益的消失;此外,供应商.平台过多及接口不兼容.存储网络(SAN)架构和

存储虚拟化和服务器虚拟化的不同

二者概念相似,但属于不同的技术.服务器虚拟和存储虚拟化技术的设计目的都是将物理系统从具体的工作负荷中分离出来,都是为了通过整合和快速分配资源达到简化环境的目的.服务器虚拟化解决方案一般将操作系统和应用程序封装到虚拟服务器中,而存储虚拟化解决方案的目的则是通过存储池化.资源分区,或让磁盘系统仿真磁带系统来优化数据存储环境. 与过去相比,在服务器虚拟化技术方面,现在最大的不同就是参与者的队伍大大扩充了--从处理器层面的AMD和Intel到操作系统层面的微软的加入,从数量众多的第三方软件厂商的涌现到服

全虚拟化与半虚拟化的实现方式

目录 目录 全虚拟化 软件辅助的全虚拟化 硬件辅助的全虚拟化 半虚拟化 全虚拟化 不需要对GuestOS操作系统软件的源代码做任何的修改,就可以运行在这样的VMM中 在全虚拟化的虚拟平台中,GuestOS并不知道自己是一台虚拟机,它会认为自己就是运行在计算机物理硬件设备上的HostOS.因为全虚拟化的VMM会将一个OS所能够操作的CPU.内存.外设等物理设备逻辑抽象成为虚拟CPU.虚拟内存.虚拟外设等虚拟设备后,再交由GuestOS来操作使用.这样的GuestOS会将底层硬件平台视为自己所有的,

《云安全原理与实践》——3.1 主机虚拟化技术概述

3.1 主机虚拟化技术概述 虚拟化技术经过半个多世纪的发展,已日趋成熟并逐渐得到广泛的应用,成为云计算的基础技术. 1959年,在国际信息处理大会上,著名科学家克里斯托弗(Christopher Strachey)发表了一篇名为"大型高速计算机中的时间共享"(Time Sharing in Large Fast Computers)的学术报告.在该报告中,他提出了虚拟化的基本概念,同时这篇文章也被认为是对虚拟化技术的最早的论述. 1965年,IBM公司发布IBM7044,它被认为是最早

构建虚拟化服务器内存类型指南

当前,虚拟化业已成为常态,了解虚拟化类型能更好的了解此技术对数据中心产生的不同影响. 与时俱进的了解服务器内存类型随着虚拟化的发展,内存已成为运算时的重要资源,其在使用性能上以及配置参数方面的发展随着虚拟化的发展也在发生着变化;对于数据中心IT人员而言,及时了解服务器的内存类型.运算性能,保障数据中心运算性能更高是很有必要的. 保护服务器的可靠性 内存能够为每个虚拟设备保存图像和数据,因此内存的可靠性对企业服务器至关重要.如果内存出错,则可能会导致虚拟设备在该空间的损坏,以致数据丢失,甚至出现更

桌面虚拟化带来的四大优势

"云计算"领域诱人的发展趋势吸引了许许多多的企业进入这个市场,但是对于商务活动而言,对于"云"概念早就已经不是什么新鲜事了.致力于开发"云计算"相关产品的企业好似雨后的春笋一样在国内扩散开了,既保护了企业的信息安全,同时也给商务会议引进了更加具有创新性的沟通方式,这使得商务"云味十足". 虚拟化技术是"云计算"系统的核心组成部分之一,桌面虚拟化是虚拟化技术的重要组成部分.使用桌面虚拟化能为企业用户带来多重好