假如你参加过8月末的VMworld大会,就会知道虚拟化安全的现状是令人担忧的。在此前的VMworld欧洲大会上,VMware的CEO Paul Maritz也曾在其主旨演讲中展示过几张有关虚拟化安全的幻灯片,这表明Maritz和VMware都很明白这一点:到目前为止,虚拟化安全是多少有些被业界忽视了。如果服务器虚拟化真得能够成为下一代云基础设施的话,那么就必须将安全集成到服务器虚拟化之中。
VMware vShield以及VMware合作伙伴的产品显然是填补这一虚拟化安全空白的良好起点。然而遗憾的是,安全技术其实只是问题的一部分。ESG最近在北美调查了463个中型企业(即员工总数在500-1000之间)和中大型企业(即员工总数在1000人以上),想弄清楚这些企业究竟是如何使用虚拟化技术的。调查的目的是想了解其使用现状、未来计划、成功经验和存在问题。结果发现虚拟化安全问题相当严重。主要表征如下:
1. 安全往往是事后才考虑的事情。服务器虚拟化项目经常都是在安全团队加入进来之前很久就已开始的。在这些案例中,服务器虚拟化基础设施可以说从一开始就产生了安全风险。
2. 安全专家缺乏服务器虚拟化的技能。在安全团队参与到项目中来的时候,他们实际上无法提供有价值的帮助。因为项目必须继续下去,而服务器虚拟化的安全风险却在积聚,安全团队再怎么提速也无济于事。
3. 到目前为止还没有出现最佳实践案例。这种情形虽然正在改变中,但是安全专家们抱怨说,服务器虚拟化安全与现有的安全框架以及运营模式不能很好地匹配。
总的来说,这其中有人的问题(安全技能),有组织的问题(项目管理/协作),也有流程的问题(没有最佳实践)。虽说这些问题会随着时间而得以缓和,但很明显的是,这些问题绝不会自行消除。到了某个时候,监管较好的组织就可能放慢服务器虚拟化项目的进程,以便解决这些安全问题。届时,服务器虚拟化/云服务厂商就会感觉到销售会出现放缓迹象。
VMware是一家技术公司,所以它做什么只能顺其自然--用新的产品和行业关系解决安全漏洞。然而,VMware需要来自标准机构、IT和安全专业组织,以及专业服务公司的更多帮助。ESG的调查报告清楚地说明,服务器虚拟化是一个将会改变IT的组织结构和流程的范式转移技术。在IT的组织结构和流程尚未变得像hypervisor一样无处不在之前,服务器虚拟化的真正革命性潜力是不会发生的。
