讓你的私有雲從此擺脫安全陰影

虛擬化環境可能更便宜、擁有更低的碳排放量、快速建立「虛擬機器」，但是沒有實實在在的邊緣，因而很難確保其安全。

Softtek是拉美地區主要的IT服務提供者之一，也是全球近岸行業的開創者。 該公司的專案經理兼業務主管Leo Navarro說：「在過去的幾個月，我們與《財富》50強企業的首席資訊安全官進行了多次交談；我們注意到，他們對於虛擬化環境安全的工具需求有所增加。 現在有好多企業已經部署了伺服器虛擬化和桌面虛擬化的解決方案。 不過，一旦這麼做，它們就得為虛擬化環境重新考慮整體安全性原則。 」

Navarro預測，2012年會出現這一幕：許多公司的資金將投入到簡化更新過程的企業級反病毒套件、監控資料流程動的資料丟失預防（DLP）工具、保護對虛擬伺服器和虛擬桌面訪問的雙因數驗證機制、 加快使用者資源配置過程的工具以及資料加密工具。

跨國IT公司Unisys的TCIS產品與技術事業部副總裁Rod Sapp說：「許多分析師表示，安全是使用者採用雲計算的第一大障礙，安全問題削弱了雲計算的優點。 在共用基礎架構的多層環境中，許多公司經常在一個角落建立私有雲，那樣它們不會面臨風險。 但迫使雲計算專案後退到資料中心某一角落帶來了問題，那就是你削弱了雲計算的根本優點，即提高基礎架構的利用率和成本效益。 」

評估需要做什麼工作

GFI軟體公司的安全研究經理Emmanuel Carabott說：「虛擬化環境中的安全可以分為兩大類：訪客作業系統的安全，這需要採取與非虛擬機器環境同樣的安全方法；另一個是虛擬環境基礎架構的安全。 虛擬化解決方案包含幾款可以管理主機和訪客的管理工具；針對這每一種管理工具，都需要考慮特定的安全問題。 」

公司首先得明確自己面臨的風險有多大。

Carabott補充說：「從虛擬化的角度來看，幾個主要的安全問題是，個人在未經授權的情況下訪問虛擬環境管理工具，劫持虛擬機器及/或隨意進出虛擬機器，以及破壞企業中所用的變更管理系統。 這每一個安全問題都需要從防火牆到安全掃描器的專業解決方案。 」

企業引入了削減成本的措施，加上旨在採用更靈活的工作策略，這就更需要確保虛擬化環境的安全。 Navarro說：「更多的公司可能會考慮實施‘帶來自己的設備’（BYOD）計畫，那樣他們的員工可以自行選擇工作時所用的設備。 這些計畫要求公司支援各種設備正常運營，為此先要確保自己的虛擬環境安全，然後要將核心應用程式擴展到行動裝置上。 」

虛擬機器帶來的挑戰

無論貴公司是不是允許員工將自己的設備連接到商業網路，網路專業人員都必須提防確保虛擬環境安全所帶來的挑戰。 Carabott說：「從理論上來說，為虛擬化環境確保安全與為實體環境確保安全一樣輕鬆。 不過實際上，情況並非總是如此，因為虛擬化環境很容易創建；員工在自己的機器上建立虛擬化環境，而不是要求額外的物理機或者通過適當的管道來申請，這種事並非前所未聞。 」

這讓網路系統管理員們頗有頭痛。 要是虛擬環境沒有集中控制起來，那麼連最基本的安全措施落實到位都無法保證。

Carabott補充說：「如果某個員工不關注安全，以為即使虛擬機器受到了危及或出現了崩潰，也只要恢復乾淨的副本就行，情況就會變得更糟糕。 遺憾的是，這種想法是有問題的，因為這個員工沒有認識到，如果虛擬機器受到了危及，它就有可能成為不法分子手裡的一塊跳板，得以更深入地攻擊企業的基礎架構。 」

安全實踐

儘管面臨挑戰，但確保虛擬化環境安全是可以做到的。

Sapp說：「在優利系統公司，我們使用Unisys保密解決方案，在安全的多租戶環境中，對從端點到資料中心的資訊進行加密和裂位（bit-splitting）。 這就排除了別人訪問你的基礎架構和資料這種可能性。 」

優利系統公司在政府行業證實了這項技術後，剛開始投入到商業行業。 Sapp認為，現在公司企業可以採取更多的措施來確保虛擬化環境安全、對方便使用。 「我們正在將很高的安全級別與針對虛擬化環境和雲計算的資源配置和自動化工具集成起來。 」

不管確保虛擬化環境安全似乎有多困難，但是最糟糕的做法是什麼都不做。 每個環境都需要加強安全，無論它是不是虛擬化環境。 說白了，關鍵就是為你網路面臨的風險尋求合適的安全級別以及合適的工具。

(責任編輯：劉芬)