Các lỗ hổng của chương trình điều khiển máy ảo (Hypervisor), lừa đảo máy ảo, lưu lượng mạng ngày càng tồi... Những rủi ro về công nghệ ảo hóa lớn nhất hiện nay là gì và cách đối phó với chúng như thế nào? Đây chính là lúc mà chúng ta phải tách rời cơ sở lập luận (thực tế) từ những hư cấu và bắt tay vào làm việc cụ thể đối với vấn đề này.
1. Kiểm soát các vấn đề tràn lan đối với máy ảo
Các CIO như Michael Abbene, người hiện đang điều hành CNTT cho Arch Coal, có một sự hiểu biết về vấn đề tràn lan các máy ảo một cách đầy đủ: Việc tạo các máy ảo thực sự chỉ mất đến vài phút. Chúng thật tuyệt vời trong việc tách các công việc tính toán nào đó. Tuy nhiên càng nhiều máy tính ảo thì sự rủi ro của bạn cũng càng tăng theo. Và một vấn đề đối với bạn lúc này là phải kiểm soát được tất cả các máy ảo đó. “Chúng tôi đã bắt đầu bằng việc ảo hóa những bài test với những vấn đề không mấy quan trọng ‘low-profile’, sau đó chuyển sang một số máy chủ ứng dụng low-profile. Tiếp đến chúng tôi đã chuyển sang một cách thành công và chúng tôi cũng hiểu làm như vậy rất có thể ra tăng vấnđề rủi ro với trong những việc này”, Abbene đã nói như vậy. Công ty hiện có khoảng 45 máy ảo tham gia sản xuất, ông ta nhấn mạnh thêm rằng còn có cả các máy chủ Active Directory và một số máy chủ ứng dụng, máy chủ web.
Vậy làm cách nào bạn có thể kiểm soát được vấn đề này? Một phương pháp: Hãy tạo các máy chủ ảo tương tự như tạo các máy tương ứng vật lý như vậy. Tại Arch Coal, nhóm CNTT rất khắt khe trong vấn đề các máy ảo mới: “Mọi người phải thông thạo với quá trình như đối với máy chủ, dù nó là máy chủ vật lý hay máy ảo”, Tom Carter, quản trị viên của hệ thống Microsoft của Arch Coal đã nói như vậy.
Với mục đích này, CNTT của Arch Coal sử dụng một ban điều hành những thay đổi (lắp ghép từ các bộ phận tiêu biểu gồm các nhân viên CNTT có kiến thức về máy chủ, lưu trữ và các vấn đề cơ bản) để nói đồng ý hay không với những yêu cầu máy chủ ảo mới. Điều đó có nghĩa rằng, những người này trong một nhóm các ứng dụng không thể vừa chỉ xây dựng máy chủ VMware mà còn phải bắt tay vào tiến hành tạo các máy ảo. Các công cụ quản lý VirtualCenter của VMware cũng như các công cụ của Vizioncore cũng có thể giúp quản lý vấn đề phức tạp của các máy ảo này.
Bỏ qua sự tràn lan các máy ảo một cách liều lĩnh, Elliott của IDC đã nói: “Sự tràn lan các máy ảo là một vấn đề lớn, gây ra nhiều chậm chạm trong khả năng quản lý, duy trì hiệu suất và sự hiện diện”. Ông ta cũng nói thêm: “Những chi phí quản lý không mong đợi sẽ tăng nếu số lượng các máy ảo nằm ngoài tầm kiểm soát”.
2. Áp dụng các quy trình đang tồn tại đối với các máy ảo
Có lẽ khía cạnh hấp dẫn nhất của sự ảo hóa chính là tốc độ của nó: Bạn có thể tạo chúng chỉ trong vòng vài phút, linh động trong vấn đề chuyển đổi, mang đến sức mạnh mới cho khía cạnh doanh nghiệp tính theo đơn vị ngày thay vì hàng tuần như trước đây. Tuy nhiên hãy đầu tư suy nghĩ về phần ảo hóa trong các quy trình CNTT đang tồn tại trong hệ thống, khi đó bạn sẽ ngăn chặn được các vấn đề bảo mật đúng lúc. Bạn cũng sẽ giảm được một số vấn đề gây đau đầu cho sau này.
“Quy trình là một điều quan trọng. Việc suy nghĩ về vấn đề ảo hóa không chỉ về quan điểm công nghệ mà còn phải từ một quy trình cụ thể”. Nếu bạn đang sử dụng một ITIL để trợ giúp các quy trình CNTT, thì bạn cần phải nghĩ về sự ảo hóa sẽ thích hợp như thế nào với kiến trúc tiến trình đó. Nếu bạn đang sử dụng các thao tác tốt nhất, hãy xem xét xem sự ảo hóa có hợp với các quy trình đó không.
Một ví dụ: “Nếu bạn có một tài liệu để bổ sung thêm sự chắc chắn cho máy chủ (liệt kê một tập hợp các chuẩn bảo mật và các nguyên tắc cài đặt một máy chủ mới) thì bạn nên thực hiện theo các bước đó đối với một máy ảo như thực hiện đối với máy vật lý”, Hoff nói như vậy.
Tại Arch Coal, nhóm CNTT của Abbene vừa mới tiến hành điều đó: “Chúng tôi dành những thao tác tốt nhất cho việc bảo mật đối với máy chủ vật lý và áp dụng chúng cho mọi máy ảo. Các bước được thực hiện giống như việc gia cố hệ điều hành, chạy chương trình chống virus trên mỗi máy ảo và bảo đảm cho các bản vá lỗi, thực hiện các bước tương tự như các thủ tục được thực hiện trên các máy ảo”.
3. Bắt đầu với những công cụ bảo mật đang tồn tại, nhưng cần thận trọng
Liệu bạn có cần phải có một bộ bảo mật và các công cụ quản lý hoàn toàn mới cho môi trường ảo của mình? Câu trả lời ở đây là không. Hãy bắt đầu với các công cụ bảo mật đang tồn tại của bạn cho các máy chủ vật lý và áp dụng chúng vào môi trường ảo một cách có ý thức, Hoff nói như vậy. Nhưng cần phải thúc ép các hãng hướng dẫn bạn cách bắt kịp với những rủi ro bảo mật ảo hóa, và cách họ tích hợp các sản phẩm khác sau này. “Có một lỗi thuộc về ý thức bảo mật liên quan đến việc chấp nhận các công cụ cho môi trường ảo”, Elliott của IDC nói, “Nó cần phải được tiến hành sớm trong vấn đề thị trường”, với các công cụ bảo mật mới được thiết kế cần phải chú ý đến vấn đề ảo hóa. Điều đó có nghĩa rằng bạn phải phát huy những gì đã có và khởi động những tiềm năng các hãng một cách mạng mẽ hơn thường lệ.
“Đừng thừa nhận các công cụ mức nền tảng (như các công cụ VMware) đã là đủ tốt đối với bạn”, Elliott nói, và hãy xem xét các yếu tố mới cũng như các hãng quản lý đã có. Thúc đẩy các hãng này mạnh hơn nữa và cung cấp sự hướng dẫn cho họ.
Jim DiMarzio, một CIO tại Mazda Bắc Mỹ, tuân theo chiến lược này trong doanh nghiệp của anh ta. DiMarzio nói rằng anh ta rất mong muốn có khoảng 150 máy ảo sản xuất phục vụ vào tháng 3 năm 2008. Hiện anh ta đang sử dụng máy chủ ảo cho các máy chủ Active Directory, máy chủ in ấn, máy chủ ứng dụng CRM và Web Server.
Để bảo đảm các máy ảo này, DiMarzio đã quyết định tiếp tục với hệ thống tường lửa đang tồn tại và các sản phẩm bảo mật hiện có Tivoli Access Manager của IBM, các công cụ tường lửa của Cisco và công cụ kiểm tra IDS của Symantec. Tại Arch Coal, Abbene và nhóm của anh ta đang mắc kẹt với các công cụ bảo mật mà họ đang sử dụng, trong khi cũng đang đầu tư những công cụ của BlueLane và Reflex Security. “Bảo mật và những thay đổi của các hãng cần phải cố gắng bắt kịp và hiện chúng đang ở phía sau”, Abbene nói.
Sản phẩm VirtualShield của BlueLane cho Wmware, tuyên bố rằng nó có thể bảo vệ được các máy ảo thậm chí trong trường hợp nơi các bản vá lỗi nào đó chưa kịp thời được cập nhật, cũng như việc quét một cách tự động cho các vấn đề có thể, nâng cấp các lĩnh vực đang gặp vấn đề và bảo vệ chống lại được một số mối đe dọa từ xa.
Virtual Security Appliance (VSA) của Reflex Security, sản phẩm mà Hoff mô tả cùng với phần mềm của BlueLane là một trong những sản phẩm đang nổi đáng quan tâm hiện nay, nó đã phục vụ thành công cho hệ thống phát hiện xâm phạm ảo (IDS), bổ sung một lớp các chính sách bảo mật bên trong thiết bị vật lý có các máy ảo. Nó có thể khóa tấn công vào chương trình hệ thống cung cấp môi trường máy tính ảo cùng với các vấn đề khác trong tương lai, nhóm của abbene chỉ ra như vậy. Abbene cũng nói nhóm CNTT của anh ấy cũng đã thảo luận về việc bổ sung thêm một tường lửa bên trong thứ hai để cách ly hơn nữa các máy ảo, nhưng anh ta lo lắng điều này có thể gây ảnh hưởng đến hiệu suất của các ứng dụng ảo.
Elliott của IDC đã trích dẫn một vài công cụ bảo mật cho hệ thống ảo khác cũng đáng giá kiểm tra: PlateSpin, được biết đến với các công cụ chuyển đổi luồng tải vật lý - ảo và các công cụ quản lý luồng tải; Vizioncore, được biết đến với các công cụ backup mức file; Akorri, được biết đến với các công cụ cân bằng luồng tải và quản lý hiệu suất; và các hãng lưu trữ EqualLogic, gần đây bị mua lại bởi Dell và được biết đến với các sản phẩm iSCSI storage-area network (SAN) được dùng để tối ưu cho máy ảo.
4. Hiểu về giá trị của Hypervisor được nhúng
Có thể bạn đã được đọc về hypervisor đã nhúng, nhưng nếu chưa đọc thì đó sẽ là một lĩnh vực mà các lãnh đạo CNTT nên hiểu. Lớp chương trình hệ thống cung cấp môi trường máy tính ảo hypervisor trên một máy chủ phục vụ như một cơ sở cho việc bao bọc tổ chức các máy ảo. ESX Server 3i hypervisor của VMware gần đây đã tuyên bố rằng nó được thiết kế với kích thước rất nhỏ (32MB) cho các lý do bảo mật, duy nhất không có mục đích bảo mật hệ điều hành. (Không hệ điều hành không có nghĩa là không bảo trì hệ điều hành).
Một số hãng phần cứng như Dell và HP gần đây đã tuyên bố rằng họ sẽ phát hành các phiên bản có nhúng các chương trình hệ thống cung cấp môi trường máy tính ảo VMware này trên các máy chủ vật lý của họ. Trong những vấn đề cơ bản, một hypervisor được nhúng sẽ an toàn hơn vì nó nhỏ hơn, Elliott của IDC nói vậy. “Mã càng cồng kềnh bao nhiều thì khả năng bị thủng càng lớn bấy nhiêu, điều này đã trở thành một phần trong quyết định kiến trúc của bạn”.
Các hypervisor được nhúng sẽ là một xu hướng lớn hiện nay, Elliott nói, và bạn có thể thấy điều này từ hầu hết các hãng máy chủ cũng như một số công ty chưa nhảy vào cuộc với lĩnh vực này trước đây. Phoenix Technologies, một hãng đi đầu trong lĩnh vực phần mềm BIOS gần đây đã tuyên bố rằng hãng này sẽ nhảy vào cuộc chơi với hypervisor và bắt đầu bằng một sản phẩm với tên gọi HyperCore: Nó là một hypervisor cho các máy tính bàn và laptop, sẽ cho phép người dùng có thể bật máy tính, sử dụng một trình duyệt Web cơ bản và client email mà không cần phải đợi khởi động Windows. (HyperCore sẽ được nhúng bên trong BIOS).
Sự cạnh tranh và cách tân trong thị trường hypervisor sẽ là một điều tốt đối với các doanh nghiệp, Hoff nói. Kết quả cuối cùng có thể cho ra các sản phẩm với kích thước nhỏ và hiệu năng cao.
Một bề mặt tấn công nhỏ không chỉ mang lại lợi ích cho một hypervisor được nhúng. Nhóm CNTT của Mazda đang mong đợi sự xuất hiện của máy chủ Dell có các chương trình hệ thống cung cấp môi trường máy tính ảo được nhúng VMware ESX server, Kai Sookwongse, giám đốc hệ thống CNTT, LAN/Server cho DiMarzio tại Mazda đã nói như vậy. “Một trong những tính năng mà chúng ta đang mong đợi đối với ESX được nhúng của Dell là tất cả các image máy ảo có thể nằm trên SAN”, Sookwongse nói. “Khi chúng ta khởi động máy chủ, nó có thể khởi động từ image trên SAN, Sự quản lý tập trung này và sự bảo mật của nó cũng có nghĩa Mazda có thể đặt hàng một máy chủ mà không cần ổ nếu muốn, cho những mối liên quan bảo mật vật lý”.
5. Không chỉ định vượt quyền hạn cho các máy ảo
Hãy nhớ rằng khi bạn trao quyền truy cập mức quản trị cho một máy ảo là khi đó đã trao truyền truy cập vào tất cả các dữ liệu trên máy ảo đó. Hãy nghĩ một cách thận trọng về loại tài khoản gì và sự truy cập gì mà các nhân viên phụ trách các nhiệm vụ backup cần thiết, Wolf của Burton Group đã khuyên như vậy. Thêm về vấn đề này, một số hãng thứ ba cung cấp những lời khuyên không còn tác dụng đến vấn đề bảo mật VM liên quan đến việc lưu trữ và các vấn đề backup. Wolf bổ sung thêm “Một số hãng thậm chí còn không tuân theo các thực hành tốt nhất của VMware cho VMware Consolidated Backup của chính họ”.
Các chuyên gia phát triển ứng dụng chỉ cần sự truy cập một cách tối thiểu. “Ứng dụng của chúng tôi, mọi người có thể truy cập và chia sẻ hoặc tối thiểu hóa sự truy cập…nhưng không truy cập vào hệ điều hành”, Carter nói như vậy. Điều này có thể giúp kiểm soát được máy ảo trong khi đó tăng được góc độ bảo mật.
0 nhận xét:
Đăng nhận xét