【IT168 虚拟化频道】虚拟基础架构带来了新的复杂性和灵活性的挑战，复杂的安全规划限制了企业关键业务虚拟化的进程。虚拟化管理的成熟度需要继续提升，以便全部启用新的管理工具，强化控制，通过自动化提升效率。

　　服务器虚拟化在进入企业十周年后面临着一个新的拐点。从物理服务器整合带来的采购支出节约逐渐趋于平稳，到虚拟化带来的运营效率的提升，但同时虚拟的基础设施也开始日益复杂，企业面临着新的风险。而且，随着关键业务应用开始运行在虚拟化的环境中，其所需求的服务和严格的安全和法规遵从要求，都给IT运营团队带来了进一步的挑战。

　　虚拟化的下一阶段重点是控制，包括对效率、性能和灵活性的重视。当前最需要的是具备“指挥和控制”能力的管理解决方案，但这个需求超出了今天流行的管理工具所能提供的能力。为了让更多的工作负载更快地部署到虚拟化环境中，同时保护投资回报，下一代工具需要解决访问控制、政策执行、配置控制和活动记录等问题。

　　未来十年将被认为是虚拟化成熟为数据中心基础设施核心的一个时期，期间会产生一个新的操作系统，可以涵盖每一个应用层，并影响服务器及工作负载的管理。

　　Taneja集团的研究显示，美国大型企业18％至25%中的应用已经运行在虚拟化环境中，这个比例到2012年底有望达到25％。到目前为止，大多数的虚拟化工作属于2级及以下（低优先级和内部应用程序），但有个明显的趋势是向第1级转化，也就是企业关键业务实现虚拟化。事实上，超过70％的被调查企业报告说，他们不仅尝试将企业关键应用部署和共享在虚拟服务器上，而且还积极地这样做。

　　虚拟化转型：为了加强控制

　　近年来，服务器虚拟化在数据中心取得了长足的发展，最终在管理和控制过程的不足限制了其进一步的发展。

　　管理员正面临着需要管理的虚拟主机和虚拟机数量激增，而监测工具不能相应提升的矛盾。此外，作为虚拟机无序扩张的两个标志：库存机器管理更加困难；机器利用率处于“饥饿”或者“全饱和”状态，也开始变得更加突出。

　　与此同时，从低优先级任务转移到1级关键任务时，会造成相关服务器的超负荷运行，从而降低了效率。关键任务工作一般配置在性能强劲的服务器上，并且运行的是企业或政府机关非常敏感的数据。如果没有实施足够的安全控制，合规风险将会持续上升，因此对于那些依赖于虚拟化的关键任务，必须加强合规风险的控制。

　　有关虚拟化技术对IT运营的影响远比理论上提及的更值得关注。据Taneja集团调查的大中型企业显示， 89％的数据中心经理认为，由于虚拟化管理工具和流程的局限性，管理员为此浪费了大量的时间。其中有一半管理员说，至少有10％的时间被浪费，超过25％的表示效率不高。

　　因此有理由认为，大多数企业现在刚刚达到这个转折点。这就提供了一次绝好的机会，以解决虚拟化的安全和控制问题，使得虚拟化避免这些问题而增强企业用户的信心。

　　转折：虚拟化如何改变数据中心

　　对虚拟基础架构实施安全计划的第一步，是辨别出现有的企业安全物理环境有哪些元素仍然适用。一般而言，所有现有的辨别数据、网络、系统和应用风险和弱点的工具和进程都应该继续传承下来，其中包括访问控制、防病毒、入侵检测、活动监控、防火墙及相关策略和技术。

　　此外，虚拟化平台本身必须作为一套新的可靠资源纳入这个体系。这包括管理程序；虚拟集群、主机和设备；虚拟网络适配器、交换机和防火墙；虚拟存储阵列和磁盘等等。

　　虚拟化改变了传统IT资源的分界和定义，它使得传统的界限模糊甚至消失了。例如，虚拟机不再仅仅是服务器，而且还包括存储。虚拟机可以囊括敏感的文件，因此它也是“数据”需要保护。虚拟机常常包含虚拟网络适配器、网络交换机和管理程序。

　　如果一个服务器也可能是数据或网络设备，也可能驻留在许多物理主机上，因此传统的鉴别方法已不再有效。因此按照虚拟对象的颗粒度进行分类是必要的。

　　那么，到底是谁来“拥有”这些新的虚拟资源、服务器、存储设备或网络呢？谁可以访问这些资源，他们可以被允许做什么呢？如何制定不同的规则来访问每个不同类型的资源？谁拥有数据保护、恢复和可用性规划的权力呢？

　　在传统的职责分离的数据中心，它是以物理为基础对IT资源进行界定的，因此不需要充分说明访问需求或访问权限，同时支持虚拟基础设施环境下的跨网域工作流程。

    提取各处的复杂性

    虚拟资源在本质上是移动的，相互之间通过抽象层连接，而实际并不真正存在于物理环境中。这些连接是动态的，往往又是暂时的，管理员就不能再依靠固定在IT堆栈里的映射监测虚拟机的活动或者控制访问。

    虚拟资源可以轻松地创建、部署和重新配置。这些特征能够加快新业务的部署，但阻碍安全和控制的规划。如果没有相应的环境，运营团队如何进行灵活部署，同时还能加强配置控制？

    众所周知，在IT运营中，企业无法管理自己不能衡量的东西。然而，这同样也是事实，就是企业不能衡量自己无法看到的东西。传统的安全策略致力于加强对元素的控制，比如服务器、交换机、文件、应用程序等。元素是静态的，通常由物理位置确定。虚拟化改变了这一切。现在，这些元素的相互作用也变得同样重要，因为它们需要根据不同的身份进行配置。单个的文件只是一个文件，除非它也是一个虚拟机。换句话说，现在安全和可控制成为了动态虚拟基础设施中最重要的因素。

    加强控制：虚拟基础设施的安全要点

    虚拟化平台应针对四个主要组成部分实施全面的安全和控制策略：访问控制、策略执行，配置控制和登录。除了这些，还要对现有的安全基础设施进行优化，同时增补新的虚拟化功能，使其达到高度自动化。

    对于如何优化，下面给出了四条建议：

    *  访问控制和规则：集中和合理化访问方法，以减少重复，效率低下；提供更好的颗粒度，以适应新的虚拟资源类型、用户策略和访问协议。

    *  对象和安全政策：简化策略的制定和修改过程；支持策略输入/输出；利用合适的目录服务器和虚拟基础设施的目录清单/拓扑/用户描述数据；通过标签改进移动/动态虚拟资源的可见度。

    *  配置控制：支持行业标准和第三方评估框架结构；监测所有配置和对象的更改；改善跟踪配置变化的响应时间；通过自动修复减少合规风险。

    *  日志和遵守：提供连续、综合和粒度更快的登录分析报告支持用户特定的日志记录；充分利用现有的活动日志和系统日志记录工具；通过实时监控减少合规风险和警报。

    这些改进将使得虚拟化数据中心在实现同等级别的行动准备工作时，和纯物理硬件的基础架构不相上下。

    说到这里就会有人问，虚拟化支持小组究竟应该在哪里入手寻求解决办法？首先，它必须认识到，安全性和控制是必要的，而不是可选项，特别是将1级的关键业务部署到虚拟化环境中时。其次，法规遵从的影响广泛而继续深化，它影响了大部分行业中各种规模的企业。

    如果今天企业的数据或流程不符合合规性审查，那它们很可能会在不久的将来吃到苦头。因此，每个供应商的业务重点、安全技能和合规知识都应该加以衡量和考虑。

    此外，虚拟化平台供应商提供安全功能和局限的能力也需要认真考虑。一般来说，他们会采用第三方的高附加值的安全解决方案，而不是取代它们。举例来说，VMware提供更深入的检查和加强控制虚拟机的VMsafe技术，支持第三方入侵检测、杀毒软件和相关解决方案。

    总之，虚拟基础架构带来了新的复杂性和灵活性的挑战，复杂的安全规划限制了企业关键业务虚拟化的进程。虚拟化管理解决方案已确定为优先发展的方向，同时增强灵活性和加强配置控制。虚拟化管理的成熟度需要继续提升，以便全部启用新的管理工具，强化控制，通过自动化提升效率。