如今,在蜂拥而至对IT硬件进行虚拟化配置的热潮中,一些CIO可能会忽略其重大的安全漏洞。有专家表示,大家普遍认为虚拟化技术可以精简基础设施并节约大量成本,但许多IT决策者对虚拟化环境的一些认识存在盲区:在虚拟交换机上虚拟机(VMs)之间的联系是一种计算机网络安全风险。 传统的网络安全工具在这方面存在一定疏漏,导致数据中心易受各种不良状况破坏,从恶意软件到一些遵从性的风险。此外,当虚拟机(VMs)在服务器上进行迁移时,这些不良状况可以趁虚而入,不被传统防火墙所发现。
“你必须时刻对此保持关注,看情况有什么变化,不仅是从性能的角度,而且要从安全的角度,”一家著名化妆品公司IT主管说,“任何……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
如今,在蜂拥而至对IT硬件进行虚拟化配置的热潮中,一些CIO可能会忽略其重大的安全漏洞。有专家表示,大家普遍认为虚拟化技术可以精简基础设施并节约大量成本,但许多IT决策者对虚拟化环境的一些认识存在盲区:在虚拟交换机上虚拟机(VMs)之间的联系是一种计算机网络安全风险。
传统的网络安全工具在这方面存在一定疏漏,导致数据中心易受各种不良状况破坏,从恶意软件到一些遵从性的风险。此外,当虚拟机(VMs)在服务器上进行迁移时,这些不良状况可以趁虚而入,不被传统防火墙所发现。
“你必须时刻对此保持关注,看情况有什么变化,不仅是从性能的角度,而且要从安全的角度,”一家著名化妆品公司IT主管说,“任何人都可以应对好消息,而我需要找出坏消息。”
这位自称是“数据奇人”的主管目前担任着公司的副总裁,负责其全球的IT基础设施,他最近花了600万美元对管辖范围内的IT设施进行虚拟化处理。在最近大约14个月内,我们一直都在探讨服务器、数据存储、以及灾难恢复等方面的问题。“除了Wintel环境下的数据库,我们可以对其它任何设备进行虚拟化,”他说。
他表示,这种从物理环境到虚拟环境的转变意味着IT人员可以对公司核心数据中心的地板进行整体更换而不会导致数据中心断电。或者说,他们可以将一台虚拟服务器从公司某一遥远的站点——比如说Australia或South Africa,拖到North Carolina的数据中心,而这一过程中它还可以“持续运转”。该主管的工作团队每周大约都会收到十条对于服务器的要求意见,现在这些要求都由服务台的人去处理,他们只需运行相应的脚本就可以了。“我们只需大约20分钟时间就可以创建一台服务器。”
向虚拟环境的转变使企业可以大量裁减员工。同时为企业节省了大量的主机管理费用,因为所有支持企业网站运行的服务器也被虚拟化了。但是,一个完全虚拟化的环境也有其阴暗的一面:缺乏内置的虚拟安全措施。
“有相应的外围安全措施,设置了隔离区(DMZ),装备了入侵检测和入侵防御系统(IDS/IPS)以及所有其它相应的配置。但是,我却无法看到虚拟交换机和虚拟界面的状况,因为现在他们都被装在虚拟机内部。”其实自从他使用了VMware公司的VMotion开始,服务器的角色就发生了转变。
为了揭示虚拟机在服务器间迁移时的真实状况,这位化妆品公司的主管引入了Altor公司的软件安全产品。
Altor公司发明了第一个“专用”的虚拟防火墙(VF)和VM流量可视性分析系统。Altor VF可以在虚拟环境下运行,并在每台虚拟机上执行安全政策。虚拟网络安全分析仪(VNSA)可以对正在进行的虚拟网络活动进行实时监控。
“而Altor给我的帮助是:(一)我现在可以保证所有的虚拟机都使用防火墙;(二)我可以对其进行遥感勘测;”他说,“传统的探测器是无法对虚拟进行监测的。你可以部署一些设备来提取相应信息,然后利用我的软件和数据来对其进行相关备份,来满足一些SOX控制措施和遵从性需求。”
这种虚拟防火墙的售价为每台VMware ESX主机1500到2000美元。
Altor公司CEO Amir Ben-Efraim曾经在Check Point 软件技术公司负责网络安全业务开发,他表示, Altor的防火墙是明确针对虚拟环境的,因此,与其竞争对手的虚拟防火墙相比具有一定优势的,它不是在物理环境下创建防火墙,而是将其配置在虚拟机内部。此外,Altor的防火墙还吸取了VMware公司相关产品的长处,这家公司是虚拟化软件行业的领头羊。
他说:“我们结合了VMware公司VirtualCenter产品的优点,我们可以看到所有虚拟机的详细目录,因此可以为这些虚拟机自动创建相应的安全政策。”如果有新的虚拟机出现,Altor软件可以首先对其进行安全确认,因此它不可能违反公司的任何安全政策。该工具也是具备VM-aware功能的,因此当一台虚拟机来回移动时,相应的防火墙政策会永远伴随着它。
当前,这位IT主管正在使用Altor的虚拟防火墙对其某些核心的虚拟机进行保护和隔离,当然这都要依据其防火墙策略而定,同时他也在使用Altor VNSA对其虚拟机之间的虚拟网络通信进行监控和分析。此外,他还试图将Altor产品与Net QoS公司的网络性能管理工具及IntuitiveLabs公司的OPX安全工具合作使用来提取他所需要的信息,让他可以从一个企业的角度来看待这一问题。
很明显他这种“领先”的方法往往更有利于技术的创新,Altor的创新性也不能让他满足。那么他是否会考虑其它的供应商呢?他表示:“我无法找到其它任何一家合适的供应商。”据他预测,随着虚拟环境从后端数据系统向主机托管这类更易受侵害设施的转移,Altor公司将成为该领域中举足轻重的一员。
分析人士认为,在大家追求服务器虚拟化整合的热潮中,一些安全问题和最佳做法将会被忽略。而Yankee公司高级分析师Phil Hochmuth也表示,像Altor这样的公司应该提高这方面的意识。
“幸运的是,我认为拥有大量虚拟设施的企业并不会因为蠕虫病毒、恶意病毒、或者说是严重的黑客袭击行为所导致的安全性问题而崩溃,” Hochmann说,“但这并不是说人们不应该为IT行业的未来所着想。如今许多企业已经开始意识到,当你在一个虚拟框架内拥有多台虚拟机时,你需要更加仔细地考虑如何确保一台物理服务器的安全。这打破了许多旧的规则。”
谈到Altor公司的产品,他表示已经和一些客户进行了交谈,而在这之前他们已经认识到流量监控工具或许是一项更为实用的技术。而他表示,在过去许多企业都将大量资源投入到了流量监控领域,而失去了对于虚拟化设备的可视性。
作者
Executive Editor Linda Tucci oversees news and e-zine projects for SearchCIO.com and SearchCIO-Midmarket.com. She has covered CIO strategy since joining TechTarget in 2005, focusing most recently on big data, mobile computing and social media. She also writes frequently about the CIO role and CIO careers for SearchCIO.com's weekly CIO Matters column. Prior to joining TechTarget she was a business columnist for the St. Louis Post-Dispatch. Her freelance work has appeared in The Boston Globe and T
翻译
相关推荐
-
2018年Gartner Catalyst大会:未来没有数据中心?
其他企业能否像Netlfix那样—在没有数据中心的情况下运营?这是Gartner公司研究副总裁Douglas […]
-
某些类型的人工智能尚未准备就绪
对于人工智能的现状以及这些技术将如何在AI大伞下发展,TELUS International公司首席信息官Mi […]
-
云计算的下半场:从颠覆到传统 数据中心迎挑战
何宝宏博士表示,未来十年,云计算将从一个颠覆性产业逐渐转换为传统行业,与此同时,边缘计算等‘衍生品’正在兴起。云计算正在把整个行业和整个系统的复杂性,从用户手里的终端迁移到云端和数据中心。
-
CIO无法忽视的三大云角色
Gartner:为了充分实现云的利益,CIO需要填补三个云角色——一个是形成战略,一个是实施战略,一个是预算。