虚拟化中与安全

　　越来越多的事情在改变……

　　五年后，在利用虚拟化来提供整体安全态势方面几乎没什么进展。在大多数情况下，这仍然是一个连接问题，而不是服务层问题，服务层被整合到基础设施或者直接绑定到工作负载。

　　供应商来来去去，很多现在的供应商从根本上被虚拟化运营模式打乱了。这些虚拟化/管理程序平台供应商仍然是实现有效安全性的关键所在。(笔者认为这将会成为主流虚拟化平台供应商首席技术官的博客战争的关键所在，我们可能会看到安全进入虚拟环境的最糟糕用例变成现实)。

　　我们已经花了五年时间挣扎于复杂的部署情况，其中“不适当地”整合了传统的安全设备。再加上到混合模式的缓慢迁移?其中的虚拟设备遭受着“四骑士”的弊病，以及基于平台的安全功能来实现无缝集成的缓慢进展和可用性，我们不难看出为什么我们还没有看到安全生态系统的振兴。

　　需要注意的是，大多数虚拟化安全解决方案(基础设施为中心的世界观)仍然专注于这样的复制物理部署和设计模式：利用基于(虚拟)网络的设备形成因素以及试图集成管理程序来实现“虚拟化感知”。最近，云计算和“软件定义一切”的影响正在阻止新安全模型的部署让位给更灵活、自动化和集成的安全产品。

　　这在很大程度上是因为虚拟化平台被打乱了，从基本的计算、网络和服务器资源虚拟化(主要专注于管理程序作为附加价值)演变为自动化的、动态的、服务为中心的云计算。这进一步转移了重点、功能和使用这些解决方案的用户。

　　在企业中，开源虚拟化和编排平台(例如OpenStack和Apache CloudStack)的出现正在推动跨管理程序(超越领导供应商VMWare)提供安全的需要。

　　云计算将会演变为一种混合模型，这种模型互连着内部部署虚拟化基础设施和类似云计算的可编程应用及服务交付平台，以及公共云平台中的资源，这加剧了提升和加快我们安全架构和运营做法的需要。

　　虽然基础设施的安全性仍然非常重要，但这种转变让我们意识到，我们也需要保护应用工作负载以及它们带来的信息。这意味着我们应较少注重传统的政策执行标准，例如IP地址和VLAN，更注重附加政策到(完全集成到这些平台的编排系统的)工作负载。

　　这需要共同努力

　　老实说，如果要在虚拟环境提供受风险驱动的良好的安全和合规功能，这在很大程度上取决于对需要保护的应用和信息的了解。这包括适当地考虑威胁模式和业务影响;调整架构和方法;平衡运营和技术的影响。虚拟化和云计算都是这些方程式中简单的运作和部署变量。

　　在这里并没有什么神奇的方法，只有一些务实的做法。

　　当笔者询问IT安全经理对于虚拟化环境中“最佳做法”的考虑因素时，笔者强调了提供各种解决方案的不同类型的供应商之间的复杂的相互作用：

　　虚拟化平台供应商

　　云平台供应商

　　编排平台供应商

　　网络平台供应商(包括软件定义网络)

　　安全行业生态系统供应商

　　管理、风险和合规供应商

　　很多人敏锐地指出，在很多情况下，第1到第4项是由一些平台供应商作为整合功能集在本地提供。并且，与IT中的很多事情一样，虚拟领域的安全性需要权衡这些捆绑服务。

　　多种选择和供应商战略往往意味着复杂性，而单一选择和缺乏多样性则提供更紧密的集成和更少的移动部件。根据安全和合规企业的成熟度(以及它们与其余IT部门的集成度)，这些元素之间的紧张关系可能将控制局面或者最终带来相当的破坏性和无效性。

　　简短的回答是，你需要安全作为一个普遍功能(服务)，遍布在这些组件中，并将其在良好定义的抽象的消费模式中连接在一起。