开发者社区> 知与谁同> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

打破虚拟化停滞僵局 虚拟化安全3个因素

简介:
+关注继续查看
本文讲的是打破虚拟化停滞僵局 虚拟化安全3个因素,虚拟化在IT领域中所覆盖的范围很广。在“一个应用,一个服务器”这一规则引领多年后,IT架构的容量已经不再能满足需求,而且也不具有成本效益。随着虚拟化的兴起,以及在单个服务器上托管多个虚拟机的趋势,很多与之相关的问题也显现出来。

  由于多个虚拟机可以放到单个服务器上,IT组织就可以确定该机器的处理能力被分配到了多个应用上。通常以单个字节来衡量的利用率可增加到70%甚至更多,这样就确保了高成本,低利用率服务器上的浪费情况比较少。

  虚拟化的转变也经历了所谓的“虚拟化停滞”。这是指许多企业在对25%的服务器完成虚拟化后,就停止了虚拟化的步伐。

  当你研究造成这种现象的原因时,通常回发现这种虚拟化只是将所有简单的服务器进行虚拟化操作(例如,dev机器或低风险的内部IT应用,如DNS)但是没能成功对其生产应用进行虚拟化操作。

  造成这种停滞的原因很多,但是其中很重要的一点就是安全因素。安全团队不确定要如何将为物理环境设计的实例应用到虚拟环境中。虽然存在这样的疑惑,但是其方向还是明确的:安全实例必须得到更新以打破虚拟化停滞不前的僵局。

  下面是虚拟化过程中,安全组织面临的三个最常见问题:

  1、网络流量可视性的缺乏

  许多安全组织用监控网络流量的方式来识别和拦截恶意流量以及渗透。供应商也发布了专用装置来执行监控以减轻安装和配置过程中的压力。将这些装置安装到网络上就如同安装到另一个服务器上一样,只需启用这些装置然后以小时或以日为单位来运行。这种方法简化了安全实例的执行过程,而且是硬件受限的安全团队和IT运营团队的福音。

  只是,这种方法在虚拟环境的应用还存在一个问题。同一个服务器上的不同虚拟机都是通过hypervisor的内联网来沟通,安全装置所在的物理网络上没有数据包传输。当然,如果虚拟机被放置到不同服务器上,那么内部虚拟机流量就会在其网络上传输,从而可以被检测到。不过,出于性能方面的考虑,与相同应用相关联的虚拟机(例如,一个应用的Web服务器和数据库服务器)通常都位于同一个物理服务器上。

  幸好,供应商已经想到办法解决这个问题。虚拟化供应商已经在其hypervisor中放入了hook,而思科和Arista等网络供应商已经习惯将其与虚拟机合用,以此实现流量监测。所以,这个问题也变得不再纠结,尽管它要求升级到目前的网络交换方法,而且安全产品也要较新的模式。你可以将这话理解为需要更多的资金投入。不过,单单缺乏可视性还不足以让企业推迟生产应用的虚拟化操作。

  2、性能对安全经费的影响

  在单个服务器上支持多个虚拟机的好处对于服务器制造商而言已经变得非常明显,他们也随之修改了自己的服务器设计。和以前能支持五个虚拟机的的1U机器不同,现在的4U刀片服务器具备几百G的缓存和大量网卡。因此,服务器现在通常可支持25或50个虚拟机。成本效益和利用率非常高,但是在单个服务器上托管如此多的虚拟机也可能导致其他问题。

  每个服务器只管理自己的安全产品,由此便导致了一些常见问题。典型的例子就是反病毒。在许多IT组织中,每个服务器都是同时更新自己的反病毒签名,这样就导致25或50个虚拟机同时发布相同操作。所以会导致传输量降低,从而影响服务器性能。

  幸好,有新的技术性方案可用。第一,就好比虚拟化供应商开放API,允许网络供应商整合到hypervisor,他们现在也开放了API让安全公司推出不需要安装到每个虚拟机上的新产品。相反,这类产品本身就是虚拟机。

  当hypervisor意识到流量需要调用一个反病毒项目的时候,就会把调用转发到虚拟机的反病毒软件上,再由虚拟机执行扫描。这样就避免了25台机器同时进行反病毒操作,一台虚拟机代表25台机器运行反病毒显然是更好的方法。

  或许你猜得到第二个方法是以云为基础。类似对文档的重复反病毒扫描等操作需要发布成千上万个反病毒签名文件,为什么不让上百万端点调用一个位于中央位置的以云为基础的方案呢?供应商可以确保其有足够的资源来控制流量,而用户则可以避免性能方面的问题,且不需要在安全软件方面投入更多资本。这种方法带来了显著效益,而且我们在不久的将来会听到更多以云为基础的安全方案。

  3、周边被破坏

  一月在华盛顿特区召开的安全威胁会议上谈到的一个主题就是认为自己的周边不会被渗透的想法是愚蠢的。有组织犯罪团体的崛起以及幕后有政府支持的黑客都使得这种定向攻击极其复杂。

  互联网安全联盟CEO Larry Clinton提供了一些有关安全威胁及其影响的统计数据,统计结果令人感到害怕。简而言之,目前的安全方法都不能满足需求。不法分子可以安装长期运行的僵尸程序,令其对服务器的数据进行筛选,从而识别和窃取重要数据。也可以理解为我们所说的APT。

  那该如何是好?

  当然,可以整合专门的安全产品层来解决APT威胁。新旧供应商都想向你售卖针对APT的安全产品。笔者并非贬低这些产品,只是这类威胁会增加安全实例在个人服务器或VM级别(换言之是安全在实例级别)的重要性,你应该进行整体监控并使用入侵防御系统。

  将这些产品都放到一个虚拟机上与“把安全放到虚拟机外”的方法不相符,当然,也有更好的想法:只能在机器上执行的安全应该位于机器上,同时可通过若干机器共享的安全应该迁移到中心位置。安全工作向来就是平衡各方面的利弊。

  小结:虚拟化经济意味着这种运算模式有望得到广泛传播,想要阻止这种趋势的人犹如螳臂当车。


作者:vivian
来源:it168网站
原文标题:打破虚拟化停滞僵局 虚拟化安全3个因素

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【新闻文本分类】(task1)赛题数据分析
赛题介绍:https://tianchi.aliyun.com/competition/entrance/531810/introduction 赛题以匿名处理后的新闻数据为赛题数据,数据集报名后可见并可下载。赛题数据为新闻文本,并按照字符级别进行匿名处理。整合划分出 14 个候选分类类别:财经、彩票、房产、股票、家居、教育、科技、社会、时尚、时政、体育、星座、游戏、娱乐的文本数据。 赛题数据由以下几个部分构成:
54 0
腾讯代码安全指南开源,涉及C/C++、Go等六门编程语言
腾讯代码安全指南开源,涉及C/C++、Go等六门编程语言
59 0
VMware 虚拟化编程(8) — 多线程中的 VixDiskLib
目录 目录 前文列表 多线程注意事项 多线程中的 VixDiskLib 前文列表 VMware 虚拟化编程(1) — VMDK/VDDK/VixDiskLib/VADP 概念简析 VMware 虚拟化编程(2) — 虚拟磁盘文件类型详解 VMware ...
1444 0
如何在各种编程语言中生成安全的随机数
生成安全的随机数据指什么?为什么要生成安全的随机数据?之前一些文献中这并没有很好得说明如何生成“安全”的随机数。所以,这里将介绍如何在下面的编程语言中安全地生成随机数。 C/C++ Java .NET Node.js PHP Python Ruby 需要包含的一般条件 这篇文章的所有方案都必须只从内核的CSPRNG(Cryptographically Secure Pseudo-Random Number Generator,密码安全的伪随机数生成器)中读取,并且失败后立即关闭。
1307 0
C语言及程序设计提高例程-31 编制自己的字符串函数
贺老师教学链接  C语言及程序设计提高 本课讲解 字符串复制 #include <stdio.h> char *scopy(char *str1, const char *str2); int main() { char s1[50]; scopy(s1, "I am happy."); printf("%s\n", s1); return 0;
895 0
+关注
10071
文章
2994
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载