盡管虛擬化使新工作負載部署變得簡單起來，但虛擬服務(wù)器卻面臨著安全性及合規(guī)性問題。實際上，為某些組織帶來虛擬化價值的很多功能特性卻給其他組織帶來了問題。本月我們向咨詢委員會詢問了當前虛擬數(shù)據(jù)中心在安全性以及合規(guī)性上面臨的最大的挑戰(zhàn)有哪些，以及如何應(yīng)對這些挑戰(zhàn)。

如何應(yīng)對虛擬服務(wù)器的安全性及合規(guī)性挑戰(zhàn)

　　以前如果你想創(chuàng)建一個新負載，需要提出采購請求，提出服務(wù)器的規(guī)格要求，在采購后完成安裝調(diào)試。目前自服務(wù)是主旋律，只要點幾下按鈕就行了。

　　簡便性帶來了對虛擬服務(wù)器安全性的關(guān)注。在過去IT對工作負載的部署位置以及如何被保護擁有控制權(quán)。現(xiàn)在對公司提供安全性保護同時仍舊能夠自由、靈活的完成工作是個問題。

　　當前保護數(shù)據(jù)最大的關(guān)注點是使用方便。

　　如何解決這一潛在的安全性問題?完全限制最終用戶不是個解決方案。如果IT采用該方式，最終用戶將會完全繞過IT，轉(zhuǎn)向外部服務(wù)商，然后IT就會失去控制了。

　　我認為解決方案應(yīng)該是在IT與最終用戶之間找到教育與協(xié)作的結(jié)合點。確保最終用戶對公司的信息負責并確保信息安全是保護公司數(shù)據(jù)的關(guān)鍵所在。

　　Jack Kaiser, Focus Technology Solutions

　　本月我就這個問題咨詢了CTO Bill Smeltzer。

　　“當前虛擬數(shù)據(jù)中心面臨的一大挑戰(zhàn)就是工作負載細分。當我們持續(xù)將工作負載遷移到通用的基礎(chǔ)設(shè)施之上，開始混合之前孤立在物理數(shù)據(jù)中心內(nèi)的不同負載。過去我們將面向公眾的服務(wù)器放在單獨的網(wǎng)絡(luò)中，通過防火墻與其他服務(wù)器進行隔離。這很容易實現(xiàn)因為在傳統(tǒng)的數(shù)據(jù)中心內(nèi)每臺物理服務(wù)器將會連接到適宜的網(wǎng)絡(luò)。”

　　“在虛擬數(shù)據(jù)中心，物理服務(wù)器運行多個工作負載并共享通用的網(wǎng)絡(luò)接口。當工作負載在不同的物理機之間遷移時記錄網(wǎng)絡(luò)規(guī)則及設(shè)置變得很困難。在對安全性非常關(guān)注的環(huán)境中，審計以及確保合規(guī)性變得越來越困難。軟件定義的網(wǎng)絡(luò)通過直接在工作負載或者虛擬機而不是網(wǎng)絡(luò)設(shè)備上應(yīng)用網(wǎng)絡(luò)安全性為緩解對虛擬服務(wù)器安全性的關(guān)注提供了幫助。使用軟件定義的網(wǎng)絡(luò)，無論工作負載如何移動，我們都能夠確保足夠的安全性，為實現(xiàn)合規(guī)性提供幫助。”

　　Jason Helmick, Concentrated Technology LLC

　　所有的IT專家都能夠構(gòu)建并部署一臺安全的服務(wù)器以滿足公司對合規(guī)性的要求。這不是什么問題。已經(jīng)有工具能夠幫助你交付針對安全性以及合規(guī)性的升級，這也沒什么問題。真正的問題是確保服務(wù)器以及客戶端始終符合規(guī)范，配置符合要求。

　　有很多其他的系統(tǒng)管理員在訪問并修改服務(wù)器，將會出現(xiàn)非合規(guī)性(沒有采用期望的軟件配置及安全性設(shè)置等等)。一旦放虎歸山，很難再把它關(guān)回到籠子里。

　　如果提前做了規(guī)劃，就能夠避免該問題。沒有特別的推薦工具，Unix/Linux用戶一直在使用工具比如Puppet、Chef來對系統(tǒng)進行檢查以確保滿足特定的配置要求以及規(guī)范、指南的集合。如果你有Unix/Linux服務(wù)器，可能已經(jīng)使用過上述工具了。

　　盡管像微軟的Window Intune這樣的工具能夠提供幫助，但Windows在這方面一直落后。Windows操作系統(tǒng)通過PowerShell V4 引入的一個新技術(shù)開始提供你所需要的解決方案。特定狀態(tài)配置(DSC)是該版塊的新產(chǎn)品，但能夠提供你一直期待的自動化以及毫不費力的控制。

　　確保合規(guī)性及安全性的一個關(guān)鍵之處就是把所有的老虎關(guān)進籠子里并且不會隨著時間的推移有所放松、退化。如果你在使用Windows，可以了解下DSC。DSC是一門新技術(shù)而且可能還不能滿足所有的需求，但是社區(qū)一直在推動DSC的發(fā)展，因此自動實現(xiàn)服務(wù)器特定狀態(tài)并持續(xù)保持變?yōu)榱爽F(xiàn)實。通過避免人為錯誤并采取所期望的安全性設(shè)置將能夠改進虛擬服務(wù)器的安全性及合規(guī)性。