如何在私有雲中檢測虛擬機器蔓延情況？

一般人都會認為，私有雲是最最安全的雲計算模式，因為是由企業自身直接掌控雲計算的安全控制運行。 但是，如同眾多理論或產品原型一樣，其在現實世界中所面臨實際問題的複雜性往往是難以預料的，也就是說新事物在帶來利益的同時也對我們提出了安全性新命題的挑戰。

最大的挑戰來自于減少障礙、創建和改變生產虛擬鏡像。 讓我們來想像一下私有雲環境是如何隨時間而演變的：員工創建「一次性」鏡像以滿足關鍵日期或質保協助的要求，從而導致虛擬機器蔓延現象的產生，由於這種半歸檔虛擬鏡像可能會無限期地存在下去，這樣就會對安全帶來威脅。 快速鏡像重用也可能導致鏡像的不當使用，例如使用開發鏡像作為生產應用程式的基線。

現在來看，這些問題也是老生常談了;在傳統物理資料中心世界中，伺服器蔓延現象和配置問題都是普遍存在的。 所不同的是，私有雲中的相關限制已消失不見。 而在傳統資料中心中，採購硬體的需求還是受到一定限制的或已得到了控制;而在公共雲計算中，與企業外部進行交互的需求(或根據鏡像支付費用)也延緩了相關擴張速度。 在私有雲中，唯一還起作用的限制因素就是存儲和處理能力，這是一個近乎沒有上限的上限。

預防這些問題通常是呼籲企業的自律。 但是，對於那些深刻理解「沒有任何一個 預防措施是100%有效」這句話的安全企業來說，檢測和預防具有同等的重要意義。 讓我們來看看這些企業是如何通過檢測不當配置或「惡意」鏡像以及鏡像不當使用來控制虛擬機器蔓延現象的。

查找惡意鏡像

在任何虛擬化部署中，鏡像都如同雨後春筍般迅速出現，但一般來說還是處於受控和合法的狀態。 企業的目標不僅僅是識別是否有變化;它將通過定義合理的變化應該是什麼並將其作為比較標準來識別那些不當變化。

現在，很容易得到鏡像的清單——市場上的每個管理程式都預設提供該功能。 而最困難的一部分是「瞭解那裡合理的變化是什麼」。 因為有了明確何為標準的需要，所以使用普通管理程式的詳細目錄功能將變得極具挑戰性。 你需要瞭解比現有鏡像更多的資訊;為了找到惡意鏡像，你需要瞭解現有鏡像應該是什麼樣的，同時你需要瞭解這些鏡像是如何進行配置的。

有一些適用于這類應用的策略，但其中最有效的是結合發現功能和執行資產管理與庫存跟蹤的工具。 如果你已經擁有一些實現類似功能的工具(變化源于你從傳統資料中心所作的遷移工作)，最好利用這些工具，諸如IBM Tivoli和SolarWinds Orion之類的現有庫存/發現軟體。

但是，既然推動雲計算部署實施的一般原因都是節省成本，那麼也就無法保證你能夠順利完成那些商業工具的採購任務，因此選擇若干個免費替代工具是非常有必要的。 Spiceworks免費、便於使用，且具有發現網路(內置)和虛擬鏡像(通過工具實現)的能力。 請注意，發現網路只是找到可用、有回應的主機，所以你還可能需要使用兩套發現功能的工具。

開源軟體FusionInventory也同樣是免費的(但是需要花功夫進行配置和使用)，該套裝軟體括了SNMP、NetBIOS和IP搜索功能(即尋找「活的」鏡像)，同時還通過代理和擴展為虛擬機器提供了資料。 配置FusionInventory將是一項極具挑戰性的工作，但是它提供了一個預配置的虛擬裝置，它將有助於進行現場配置和運行(雖然並不推薦它作為生產部署)。

查找不當使用

查找惡意鏡像和不當配置鏡像是很重要的，但是當對特定類型進行適當配置鏡像(例如「QA WebLogic伺服器)被用於全部各種目的而不是原定目的(如」生產支付應用程式)時，將會發生什麼情況?

從歷史經驗來看，這個問題是很難解決。 很多人都在關注管理程式軟體領域的演變——例如VMware的vShield App5的預防資料丟失功能，該功能可確保搜索惡意資料更易於管理，但由於a)花費大量金錢，b)對我們大多數人來說是「未來狀態」， 其責任在於在短期時間內同時查找和控制資料。 一個策略是防止資料丟失(DLP)。

以前已經有大量的文章介紹了雲計算遷移之前和遷移期間的DLP，但是我這裡介紹的的DLP是在鏡像上的情況(在雲計算遷移之後)，即在測試/開發鏡像上尋找生產資料的臨時權宜之計。 你可以通過集成DLP代理和測試與開發基線鏡像來做到這一點。 如果你已擁有了DLP，你可以直接使用;如果你沒有，可以使用諸如OpenDLP或MyDLP之類的免費替代工具來監控入站和出站資料流程，如信用卡號、社會安全號、以及定制使用者提供的正規表示。 這兩個軟體都有可用於設置和快速投產的虛擬裝置。

通過關注目錄變更和資料駐留位置的變化，企業可以解決私有雲中一些與虛擬機器蔓延現象相關的安全挑戰。

(責任編輯：蒙遺善)