如何应对虚拟服务器的安全性及合规性挑战

尽管虚拟化使新工作负载部署变得简单起来，但虚拟服务器却面临着安全性及合规性问题。实际上，为某些组织带来虚拟化价值的很多功能特性却给其他组织带来了问题。本月我们向咨询委员会询问了当前虚拟数据中心在安全性以及合规性上面临的最大的挑战有哪些，以及如何应对这些挑战。

[[110783]]

Maish Saidel-Keesing, Cisco Video Technologies Israel

以前如果你想创建一个新负载，需要提出采购请求，提出服务器的规格要求，在采购后完成安装调试。目前自服务是主旋律，只要点几下按钮就行了。

简便性带来了对虚拟服务器安全性的关注。在过去IT对工作负载的部署位置以及如何被保护拥有控制权。现在对公司提供安全性保护同时仍旧能够自由、灵活的完成工作是个问题。

当前保护数据最大的关注点是使用方便。

如何解决这一潜在的安全性问题?完全限制最终用户不是个解决方案。如果IT采用该方式，最终用户将会完全绕过IT，转向外部服务商，然后IT就会失去控制了。

我认为解决方案应该是在IT与最终用户之间找到教育与协作的结合点。确保最终用户对公司的信息负责并确保信息安全是保护公司数据的关键所在。

Jack Kaiser, Focus Technology Solutions

本月我就这个问题咨询了CTO Bill Smeltzer。

“当前虚拟数据中心面临的一大挑战就是工作负载细分。当我们持续将工作负载迁移到通用的基础设施之上，开始混合之前孤立在物理数据中心内的不同负载。过去我们将面向公众的服务器放在单独的网络中，通过防火墙与其他服务器进行隔离。这很容易实现因为在传统的数据中心内每台物理服务器将会连接到适宜的网络。”

“在虚拟数据中心，物理服务器运行多个工作负载并共享通用的网络接口。当工作负载在不同的物理机之间迁移时记录网络规则及设置变得很困难。在对安全性非常关注的环境中，审计以及确保合规性变得越来越困难。软件定义的网络通过直接在工作负载或者虚拟机而不是网络设备上应用网络安全性为缓解对虚拟服务器安全性的关注提供了帮助。使用软件定义的网络，无论工作负载如何移动，我们都能够确保足够的安全性，为实现合规性提供帮助。”

Jason Helmick, Concentrated Technology LLC

所有的IT专家都能够构建并部署一台安全的服务器以满足公司对合规性的要求。这不是什么问题。已经有工具能够帮助你交付针对安全性以及合规性的升级，这也没什么问题。真正的问题是确保服务器以及客户端始终符合规范，配置符合要求。

有很多其他的系统管理员在访问并修改服务器，将会出现非合规性(没有采用期望的软件配置及安全性设置等等)。一旦放虎归山，很难再把它关回到笼子里。

如果提前做了规划，就能够避免该问题。没有特别的推荐工具，Unix/Linux用户一直在使用工具比如Puppet、Chef来对系统进行检查以确保满足特定的配置要求以及规范、指南的集合。如果你有Unix/Linux服务器，可能已经使用过上述工具了。

尽管像微软的Window Intune这样的工具能够提供帮助，但Windows在这方面一直落后。Windows操作系统通过PowerShell V4 引入的一个新技术开始提供你所需要的解决方案。特定状态配置(DSC)是该版块的新产品，但能够提供你一直期待的自动化以及毫不费力的控制。

确保合规性及安全性的一个关键之处就是把所有的老虎关进笼子里并且不会随着时间的推移有所放松、退化。如果你在使用Windows，可以了解下DSC。DSC是一门新技术而且可能还不能满足所有的需求，但是社区一直在推动DSC的发展，因此自动实现服务器特定状态并持续保持变为了现实。通过避免人为错误并采取所期望的安全性设置将能够改进虚拟服务器的安全性及合规性。