八 注意交換機(jī)

　　什么時(shí)候交換機(jī)不是交換機(jī)？Wolf說： “有些虛擬交換機(jī)的工作方式類似集線器： 每個(gè)端口鏡像到虛擬交換機(jī)上的所有其他端口�！碧貏e是如今的微軟Virtual Server帶來了這個(gè)問題。VMware的ESX Sserver不會(huì)，思杰的XenServer也不會(huì)。他說： “人們一聽到‘交換機(jī)’，就認(rèn)為有隔離機(jī)制。這其實(shí)視廠商而定�！�

　　微軟聲稱，交換機(jī)問題會(huì)在即將發(fā)布的Viridian服務(wù)器虛擬化軟件產(chǎn)品中得到解決。

　　九 監(jiān)控“非法”虛擬機(jī)

　　要擔(dān)心的不僅僅是服務(wù)器。Wolf說： “最大的威脅在客戶端上—非法虛擬機(jī)（rogue VM）�！� 那么，什么是非法虛擬機(jī)？用戶能夠下載及使用VMware Player這樣的免費(fèi)程序，會(huì)讓桌面和筆記本電腦用戶可以運(yùn)行由VMware Workstation、Server或者ESX Server創(chuàng)建的任何虛擬機(jī)。

　　如今許多用戶喜歡在桌面或者筆記本電腦上使用虛擬機(jī)分開各部分工作，或者分開公事與私事。 有些人使用VMware Player在一個(gè)機(jī)器上運(yùn)行多個(gè)操作系統(tǒng)。 比如使用Linux作為基本操作系統(tǒng)，卻創(chuàng)建一個(gè)虛擬機(jī)來運(yùn)行Windows應(yīng)用。

　　Wolf說： “這些虛擬機(jī)甚至沒有打上相應(yīng)的補(bǔ)丁。那些系統(tǒng)暴露在網(wǎng)絡(luò)上因而所有未加管理的操作系統(tǒng)易受攻擊。”

　　這會(huì)增添很多風(fēng)險(xiǎn)： 運(yùn)行非法虛擬機(jī)的機(jī)器可能會(huì)傳播病毒。更糟糕的是，可能還會(huì)傳播到物理網(wǎng)絡(luò)上。舉例說，有些人就很容易加載DHCP服務(wù)器以便分配虛假IP地址。這實(shí)際上就是一種拒絕服務(wù)攻擊。至少，會(huì)把IT資源浪費(fèi)在查明問題上。甚至有可能是簡(jiǎn)單的用戶錯(cuò)誤，也會(huì)給網(wǎng)絡(luò)帶來不必要的負(fù)擔(dān)。

　　那么如何防范非法虛擬機(jī)呢？首先應(yīng)當(dāng)加以控制，規(guī)定誰可以獲得VMware Workstation（因?yàn)閯?chuàng)建虛擬機(jī)需要它）。IT部門還可以使用群組安全策略來防止某些可執(zhí)行程序運(yùn)行，比如安裝VM Player所需的可執(zhí)行程序。另一個(gè)選擇是，定期審查用戶的硬驅(qū)。需要找出裝有虛擬機(jī)的機(jī)器，然后標(biāo)記出來，以便IT部門采取適當(dāng)行動(dòng)。

　　這是不是已成了用戶和IT部門之間的另一個(gè)爭(zhēng)論點(diǎn)—精通技術(shù)的用戶需要在公司能像在家里那樣使用虛擬機(jī)？Wolf說還沒有。他說： “大部分IT部門對(duì)此置之不理�！�

　　如果允許用戶在電腦上運(yùn)行虛擬機(jī)，VMware的Lab Manager及其他管理工具可以幫助IT部門控制及監(jiān)管這些虛擬機(jī)。

　　十 做好虛擬化安全預(yù)算

　　IDC的Elliott說： “確保分配好虛擬化安全和管理方面的預(yù)算。”Arch Coal公司的Abbene指出，可能不需要在安全預(yù)算中為虛擬化安全單列預(yù)算，但全部安全預(yù)算最好為它留出足夠多的資金。

　　另外，在估算虛擬化的投資回報(bào)時(shí)要留意安全成本。Hoff指出，對(duì)越來越多的服務(wù)器進(jìn)行虛擬化處理，并不會(huì)使安全開支有所降低，因?yàn)樾枰�運(yùn)用現(xiàn)有的安全工具來管理每個(gè)虛擬機(jī)。如果沒有預(yù)料到這筆開支，可能會(huì)減少投資回報(bào)。

　　據(jù)Gartner聲稱，這是目前常犯的一個(gè)錯(cuò)誤。據(jù)Gartner的副總裁Neil MacDonald聲稱，到2009年，部署的虛擬化技術(shù)大約有90%會(huì)面臨未預(yù)料到的成本，比如安全成本等，這會(huì)影響投資回報(bào)。

上一頁  [1] [2] [3] [4]