虛擬機器安全防護 由健全策略開始做起
文／Jarina D'Auria     譯／曾祥信

虛擬化總是伴隨安全性的風險。你可以藉由執行和防護實體伺服器安全同樣的策略，來抓到防護虛擬化安全的要領。由於部署一個虛擬環境非常容易且快速，常會使得一些IT專業人員忽視了它可能蘊釀的安全顧慮。

---

在WorkflowOne這家提供市場行銷服務的公司，他們的IT部門已瞭解：他們必須緊緊追趕，才能對付各種新的安全性風險。該公司的資訊安全分析師John Dattalo說，突然間出現數個虛擬伺服器的潛在可能性，會引起安全團隊的困惑和驚慌。試想一個像這樣令人恐懼的場景：當安全團隊才吃完午餐回來，就發現忽然出現了10個新的伺服器，而他們卻完全不知道這些伺服器從何而來，也不知道它們是作什麼用的。

所以，你要從哪裡開始做起呢？這答案比你想像的還要簡單：和你在一個傳統環境中會開始著手的地方完全一樣。「擁有一個堅固的策略，並且堅持及執行它，就是你該做的第一步驟。」John Dattalo說。研究機構Forrester Research的分析師Natalie Lambert則表示，要確保你的程式都是最新的也十分重要。當虛擬化技術剛開始流行時，只有少數公司將安全性也列入「是否要導入該項技術的評估項目」。然而時至今日，IT管理人員們已認知到這些風險的存在，而且開始採取對策去更正這些疏失，John Dattalo補充。


謹記基本原則
Dattalo認為，存取控管是虛擬化最大的風險之一，因為一個「能存取某個執行著許多虛擬機器的實體伺服器」的人，就「可能使得整套系統崩壞」。Forrester的Lambert也同意這項看法：「虛擬機器能擁有整個檔案的所有屬性值，這是一般實體伺服器所沒有的。」她表示，因此員工們可以存取的資料，會比公司希望他們所能存取到的更多。為了要解決這個問題，Dattalo建議，由一個資深的經理負責決定一張存取控制表列，清楚地指出每個員工需要使用的有哪些實體伺服器，而哪些他們並不需要。

一家提供汽車銷售資訊的公司─Kelley Blue Book，其CIO Dave Templeton指出，追蹤和維護虛擬伺服器，並瞭解它們上面都執行了些什麼，也是一項關鍵。Templeton在過去的18個月裡，新增了225個虛擬伺服器。「這些虛擬伺服器同樣有著安全性風險」─就和專用的實體伺服器一般，但他也表示：「它們的配置管理卻快速許多，使得你更能掌握所有的事情。」

現在，Templeton和他的IT主管Grant Leathers，正在尋找一個能將他們資料中心裡每一個虛擬機器對應到實體伺服器的工具。因為虛擬化後伺服器產生的速度加快，使這樣的對應能見度需求，也比以往都更顯得重要。他表示，在當你有了數以百計的機器要維護時，要對應出你所部署的虛擬系統上究竟都執行些什麼，就變得更為困難。Templeton建議，要有一個基礎架構團隊來密切管理這些設備的安裝和支援─不論是由設備機架或是網路集合的觀點來管理，而非事後才去設法進行這些對應。


等待新工具
Dattalo認為，那些在虛擬環境裡用以管理存取控制，並且提供能見度的工具，目前都仍不夠成熟。他希望能有一個在控制上提供更精細區隔的工具，因為如此一來，他和他的員工就能針對每個人所能存取的不同機器或應用，做出具體明確的限定。Forrester研究機構的Lambert認為，在不久的將來，就會有像這樣更精細的工具上市，但它們的出現對Dattalo來說還是不夠快。

「我想要能瞭解及控制在虛擬環境中安全性的每個面向，就如同是在一個實體環境中一般。」Dattalo表示。