隨著虛擬化技術(shù)的興起，以及許多企業(yè)因此改而在單臺服務(wù)器上運行多個虛擬機，許多這些問題隨之消失了。

由于現(xiàn)在將多個虛擬機放到單單一臺服務(wù)器上，IT部門就能確保服務(wù)器的處理能力分配給了許多應(yīng)用程序。通常以個位數(shù)來衡量的利用率現(xiàn)在可以提高到70%，甚至更高，確保了浪費在成本高、利用率低的服務(wù)器上的資本少得多。

向虛擬化技術(shù)轉(zhuǎn)變的潮流帶來了有時所謂的“虛擬化停滯”（virtualization stall），這也絕非什么秘密。這個問題是指，許多企業(yè)對25%左右的服務(wù)器進行虛擬化處理后，就停滯不前了。

如果你分析一下為什么會出現(xiàn)這個問題，通常會發(fā)現(xiàn)企業(yè)將所有簡單的服務(wù)器（比如用于開發(fā)的機器以及DNS等低風險的內(nèi)部IT應(yīng)用程序）進行了虛擬化處理，卻沒有對生產(chǎn)環(huán)境的應(yīng)用程序進行虛擬化處理。

造成虛擬化停滯的原因有多方面，但是重要的一個原因是安全。實際上，安全小組沒有把握，不知道如何將為物理環(huán)境設(shè)計的安全做法搬到虛擬化環(huán)境。盡管存在這樣的困惑，但方向很明確：必須更新安全做法，才能打破虛擬化停滯僵局。

下面是安全部門走向虛擬化未來時面臨的三個最常見的問題：

一、對網(wǎng)絡(luò)流量缺乏了解。

許多安全部門監(jiān)控網(wǎng)絡(luò)流量，以便識別和阻止惡意流量和企圖滲透的活動。安全廠商們?yōu)榇送瞥隽藢ｉT的硬件設(shè)備，可以進行監(jiān)控，以減小安裝和配置工作的難度。這些硬件設(shè)備可以就像另一臺服務(wù)器那樣安裝到網(wǎng)絡(luò)上；只需要幾小時或幾天就能以安裝并運行起來。這種硬件設(shè)備方法簡化了安全做法，對處于困境的安全小組和IT運營小組來說是莫大的福音。

不過在虛擬化環(huán)境下，這種方法存在一個問題。同一臺服務(wù)器上的多個虛擬機通過虛擬機管理程序的內(nèi)部網(wǎng)絡(luò)來聯(lián)系，并沒有數(shù)據(jù)包流經(jīng)物理網(wǎng)絡(luò)——而安全硬件設(shè)備就位于物理網(wǎng)絡(luò)上，隨時準備監(jiān)測數(shù)據(jù)包。當然，如果虛擬機駐留在不同的服務(wù)器上，虛擬機之間的流量就會跨網(wǎng)絡(luò)傳送，那樣就可以接受檢查了。不過，出于性能方面的考慮，與同一應(yīng)用程序相關(guān)的多個虛擬機（如某個應(yīng)用程序的Web服務(wù)器和數(shù)據(jù)庫服務(wù)器）常常放在同一臺物理服務(wù)器上。

幸好，廠商們已挺身而出，積極解決這個問題。虛擬化技術(shù)廠商們提供了連接到虛擬機管理程序的軟件接口，思科和Arista等網(wǎng)絡(luò)廠商們已經(jīng)在使用這些軟件接口，與虛擬交換機集成起來，進而能夠檢查流量。所以，這個問題并非無法克服，不過它的確需要對現(xiàn)有的網(wǎng)絡(luò)交換方法進行升級，還需要使用與這種更新的計算模式集成起來的安全產(chǎn)品。換句話說，這需要投入更多的資金。但是僅僅對網(wǎng)絡(luò)流量缺乏了解絕不是企業(yè)推遲對生產(chǎn)環(huán)境的應(yīng)用程序進行虛擬化處理的理由。

二、影響性能的安全開銷。

在單單一臺服務(wù)器上支持多個虛擬機的好處對于服務(wù)器制造商自己來說已經(jīng)變得很明顯，為此它們相應(yīng)改動了自己的服務(wù)器設(shè)計。不像以前的1U比薩盒服務(wù)器也許只能支持四五個虛擬機，今天的4U刀片服務(wù)器配備了數(shù)百GB的內(nèi)存和大量的網(wǎng)卡。因而，現(xiàn)在服務(wù)器通常能夠支招25個或50個虛擬機。成本效益和利用率很高，但是在單單一臺服務(wù)器上運行如此多的虛擬機會帶來其他問題。

一個常見的問題歸因于每臺服務(wù)器管理自己的安全產(chǎn)品。一個典型例子就是反病毒軟件。在許多IT部門，每臺服務(wù)器每天同時更新自己的反病毒特征文件，因而導(dǎo)致25或50個虛擬機同時開始進行一樣的操作。這拖累了服務(wù)器，因而導(dǎo)致吞吐量比較低。

幸好，現(xiàn)在市面上有新的技術(shù)解決方案。首先，正如虛擬化技術(shù)廠商提供了應(yīng)用編程接口（API），讓網(wǎng)絡(luò)廠商們可以與虛擬機管理程序集成起來，它們現(xiàn)在還提供專門的API，讓安全公司們可以推出不需要安裝到每一個虛擬機上的新產(chǎn)品。相反，這些產(chǎn)品本身就是虛擬機。

當虛擬機管理程序認識到需要調(diào)用反病毒軟件（比如要求訪問在打開之前必須先瀏覽的文檔）的流量時，它會把這個調(diào)用轉(zhuǎn)發(fā)到虛擬機上的反病毒軟件，由虛擬機來執(zhí)行掃描。一個虛擬機代表所有25個虛擬機運行反病毒掃描，而不是25個虛擬機運行各自的反病毒掃描——這顯然是一種更好的方法。

你可能也猜到了，第二個方法是基于云。面對對文檔進行重復(fù)性反病毒掃描這樣的任務(wù)——需要分發(fā)數(shù)百份或數(shù)千份（可能甚至數(shù)百萬份）反病毒特征文件，何不讓成千上萬的端點訪問一款放在中央位置的、基于云的解決方案呢？提供商能確保自己有足夠的資源來處理所有流量，而用戶避免了性能問題，又不必把更多的資本投入到安全軟件上。這種方法帶來了顯著效益，我們在不遠的將來會聽到基于云的安全方案方面的更多動靜。

三、安全邊界遭破壞。

今年1月，我在華盛頓出席了首屆安全威脅大會。會議的一個主題是，以為自己的安全邊界牢不可破是愚蠢的想法。有組織犯罪團伙的興起以及政府資助的黑客的出現(xiàn)，意味著不法分子針對感興趣的目標發(fā)起了手段極其高明的攻擊。

互聯(lián)網(wǎng)安全聯(lián)盟（Internet Security Alliance）的首席執(zhí)行官Larry Clinton提供了一些駭人的統(tǒng)計數(shù)據(jù)，關(guān)于目前的安全威脅以及它們對如今IT做法的影響。簡而言之，目前的安全方法都不夠有效。要是不法分子將目光移向貴企業(yè)，就會設(shè)法進入到你的網(wǎng)絡(luò)上。他們能夠安裝持續(xù)相當長時間的僵尸程序，可以仔細翻查你的服務(wù)器，查找和竊取重要數(shù)據(jù)。這些不法分子采用的手法歸于“高級持續(xù)性威脅”（簡稱APT）這一類攻擊。

那該怎么辦呢？

當然，一個辦法就是整合一層新的安全產(chǎn)品——這種產(chǎn)品專門用來對付APT.新老廠商隨時準備向你銷售針對APT的產(chǎn)品。我不會拒絕考慮這種方法，但是我對這種威脅的看法是，它無異中加大了安全做法在單臺服務(wù)器或單個虛擬機層面的重要性——換句話說，就是實例層面的安全。你絕對應(yīng)該運行完整性監(jiān)控，并且使用機載入侵預(yù)防系統(tǒng)。

當然，把這些產(chǎn)品放到每一個虛擬機上的做法與“把安全移到虛擬機外面”的做法相沖突，但是一種更合理的想法是，只能在虛擬機上執(zhí)行的安全機制應(yīng)該放在虛擬機上執(zhí)行，而可以在幾個虛擬機之間共享的安全機制應(yīng)該遷移到某個中央位置。沒有十全十美的解決之道，但是安全向來需要權(quán)衡利弊，不是嗎？

結(jié)束語

虛擬化技術(shù)帶來的經(jīng)濟意義意味著，這種計算模式可能會變得很廣泛。就因為目前的安全做法未得到支持而試圖抵御這項技術(shù)廣泛應(yīng)用，就好比試圖逆潮流而行，那是徒勞無益的。