10 mối đe dọa về bảo mật trên máy chủ ảo

Các lỗ hổng của chương trình điều khiển máy ảo (Hypervisor), lừa đảo máy ảo, lưu lượng mạng ngày càng tồi... Những rủi ro về công nghệ ảo hóa lớn nhất hiện nay là gì và cách đối phó với chúng như thế nào? Đây chính là lúc mà chúng ta phải tách rời cơ sở lập luận (thực tế) từ những hư cấu và bắt tay vào làm việc cụ thể đối với vấn đề này.

Năm 2007, một câu hỏi lớn nhất về vấn đề ảo hóa trong các trung tâm dữ liệu được đặt ra đó là “Cần phải tốn bao nhiêu tiền và bao nhiêu thời gian để bảo vệ chúng ta trong vấn đề này?”. Năm 2008, câu hỏi lớn sẽ là “Chúng ta sẽ được an toàn như thế nào?”. Đó là một câu hỏi rất khó để có thể trả lời. Hãy xoay quanh các hãng và cố vấn trong lĩnh vực này. Một số nhà nghiên cứu bảo mật đang cường điệu hóa những rủi ro mang tính lý thuyết như vấn đề khẩn cấp malware có thể nhắm vào các chương trình điều khiển máy tính ảo (một mối đe dọa vẫn chưa xuất hiện trong thế giới thực). “Có rất nhiều bàn tán xung quan vấn đề ảo hóa này và nó có thể đang làm cho chúng ta rối trí”, Chris Wolf, một nhà phân tích cho công ty nghiên cứu thị trường Burton Group đã nói như vậy.

Như đổ thêm dầu vào lửa trong việc cường điệu hóa sự thật này, nhiều tổ chức CNTT nói rằng họ đã ưu tiên tốc độ vận hành hơn cả các hệ số khác, trong đó có việc lên kế hoạch bảo mật, khi họ bắt đầu việc tạo hàng trăm máy ảo (VM) trong năm 2007. (Điều đó hoàn toàn không có gì ngạc nhiên, khi bạn cho rằng hầu hết các doanh nghiệp đã bắt đầu với vấn đề ảo hóa trên các máy tính phát triển ứng dụng và sự kiểm thử của họ, không cho các máy chủ đang chạy trong các ứng dụng cốt yếu).

Chúng tôi cho rằng vấn đề bảo mật sẽ là một vấn đề không thể bỏ sót trong công nghệ ảo hóa. Thật là điên rồ khi bạn nghĩ về con số các máy tính ảo mức sản xuất”, Stephen Elliott, giám đốc nghiên cứu về phần mềm quản lý các hệ thống doanh nghiệp của IDC đã nói như vậy. Cũng theo số liệu của IDC cung cấp, có tới 75% công ty với khoảng hơn 1.000 nhân viên đang triển khai công nghệ ảo hóa ngày nay.

Và tính đến năm 2009, khoảng 60% các máy tính ảo tham gia hoạt động sản xuất sẽ kém an toàn hơn so với các máy tính vật lý”, Gartner, phó chủ tịch Neil MacDonald đã dự đoán trong một phát biểu của ông vào tháng 10/2007. Tuy nhiên nhiều thảo luận về vấn đề bảo mật công nghệ ảo này hiện cho thấy có nhiều thiếu sót, chuyên gia bảo mật Chris Hoff đã nói vậy, ông cũng giải thích thêm bởi vì mọi người thường dựng lên một thảo luận bằng cách hỏi xem các máy chủ ảo sẽ an toàn hơn hoặc kém an toàn hơn những máy chủ vật lý.

Đó hoàn toàn là một câu hỏi sai lầm, Hoff nói vậy, các blog của ông thường nêu chủ đề. Câu hỏi đúng đối với thời điểm hiện nay cần nêu ra là “Bạn có đang áp dụng những gì đã biết về bảo mật đối với môi trường ảo hóa của bạn không?

Mọi người thường hay sa đà vào những vấn đề lý thuyết… khi thực tế có một xu hướng rõ ràng những thứ có thể thực hiện ngày nay” Hoff nói thêm. Rõ ràng, sự ảo hóa có dẫn đến một số vấn đề bảo mật mới, nhưng những thứ đầu tiên đó là “Chúng ta phải thực tế. Hãy bảo đảm rằng chúng ta phải xây dựng được các mạng ảo cũng như những gì chúng ta đã làm được với mạng vật lý”.

Trong một ví dụ, ông ta chỉ ra một công cụ quản lý ảo hóa như VMotion của Vmware, đây là một công cụ rất hữu dụng cho việc chuyển các máy ảo một cách kịp thời khi gặp vấn đề, và cũng có thể cho phép ai đó với các quyền quản trị viên có thể phối hợp hai hay nhiều máy ảo đó mà trong thế giới vật lý, sẽ phải phân tách một cách thận trọng dưới dạng lưu lượng mạng cho những lý do về bảo mật.

Một số tổ chức CNTT đang gặp phải một vấn đề lỗi mang tính căn bản hiện nay. Họ đang cho phép nhóm máy chủ chạy những nỗ lực ảo một chiều mà không đoái hoài gì đến vấn đề bảo mật, lưu trữ và kết nối mạng của đội CNTT. Điều này có thể gây ra rất nhiều vấn đề về bảo mật mà sẽ không có gì để làm với sự yếu kém cố hữu của công nghệ ảo hóa và các sản phẩm. “Đây là một cơ hội hoàn hảo để đưa vào các nhóm hỗ trợ cùng với nó”, Hoff nói như vậy.

Ảo hóa là kế hoạch 90%, kế hoạch có cả nhóm hỗ trợ về mạng, bảo mật và lưu trữ” Wolf của Burton Group đã nói như vậy. Tuy nhiên một thực tế là, hầu hết các đội hỗ trợ CNTT đều không quan tâm nhiều đến công nghệ ảo hóa và hiện phải tiến hành để đuổi kịp. Điều gì sẽ xảy ra nếu bạn bỏ lỡ mất thời cơ lên kế hoạch với tất cả các chuyên gia của mình, hay bạn sẽ phải lo lắng nhiều hơn khi mở rộng số lượng máy ảo và đưa vào các ứng dụng quan trọng hơn cần đến độ bảo mật cao hơn vào các máy ảo này?

Để bắt kịp, bắt đầu với một kiến thức tốt về cơ sở hạ tầng ảo hóa bằng sử dụng các công cụ hoặc các cố vấn, sau đó bạn phải làm việc quay trở về các vấn đề trước đó”, Wolf đã nói như vậy.

Dưới đây là 10 bước quan trọng các doanh nghiệp có thể nắm lấy, tham khảo để thắt chặt vấn đề bảo mật công nghệ ảo hóa:

1. Kiểm soát các vấn đề tràn lan đối với máy ảo

Các CIO như Michael Abbene, người hiện đang điều hành CNTT cho Arch Coal, có một sự hiểu biết về vấn đề tràn lan các máy ảo một cách đầy đủ: Việc tạo các máy ảo thực sự chỉ mất đến vài phút. Chúng thật tuyệt vời trong việc tách các công việc tính toán nào đó. Tuy nhiên càng nhiều máy tính ảo thì sự rủi ro của bạn cũng càng tăng theo. Và một vấn đề đối với bạn lúc này là phải kiểm soát được tất cả các máy ảo đó. “Chúng tôi đã bắt đầu bằng việc ảo hóa những bài test với những vấn đề không mấy quan trọng ‘low-profile’, sau đó chuyển sang một số máy chủ ứng dụng low-profile. Tiếp đến chúng tôi đã chuyển sang một cách thành công và chúng tôi cũng hiểu làm như vậy rất có thể ra tăng vấnđề rủi ro với trong những việc này”, Abbene đã nói như vậy. Công ty hiện có khoảng 45 máy ảo tham gia sản xuất, ông ta nhấn mạnh thêm rằng còn có cả các máy chủ Active Directory và một số máy chủ ứng dụng, máy chủ web.

Vậy làm cách nào bạn có thể kiểm soát được vấn đề này? Một phương pháp: Hãy tạo các máy chủ ảo tương tự như tạo các máy tương ứng vật lý như vậy. Tại Arch Coal, nhóm CNTT rất khắt khe trong vấn đề các máy ảo mới: “Mọi người phải thông thạo với quá trình như đối với máy chủ, dù nó là máy chủ vật lý hay máy ảo”, Tom Carter, quản trị viên của hệ thống Microsoft của Arch Coal đã nói như vậy.

Với mục đích này, CNTT của Arch Coal sử dụng một ban điều hành những thay đổi (lắp ghép từ các bộ phận tiêu biểu gồm các nhân viên CNTT có kiến thức về máy chủ, lưu trữ và các vấn đề cơ bản) để nói đồng ý hay không với những yêu cầu máy chủ ảo mới. Điều đó có nghĩa rằng, những người này trong một nhóm các ứng dụng không thể vừa chỉ xây dựng máy chủ VMware mà còn phải bắt tay vào tiến hành tạo các máy ảo. Các công cụ quản lý VirtualCenter của VMware cũng như các công cụ của Vizioncore cũng có thể giúp quản lý vấn đề phức tạp của các máy ảo này.

Bỏ qua sự tràn lan các máy ảo một cách liều lĩnh, Elliott của IDC đã nói: “Sự tràn lan các máy ảo là một vấn đề lớn, gây ra nhiều chậm chạm trong khả năng quản lý, duy trì hiệu suất và sự hiện diện”. Ông ta cũng nói thêm: “Những chi phí quản lý không mong đợi sẽ tăng nếu số lượng các máy ảo nằm ngoài tầm kiểm soát”.

2. Áp dụng các quy trình đang tồn tại đối với các máy ảo

Có lẽ khía cạnh hấp dẫn nhất của sự ảo hóa chính là tốc độ của nó: Bạn có thể tạo chúng chỉ trong vòng vài phút, linh động trong vấn đề chuyển đổi, mang đến sức mạnh mới cho khía cạnh doanh nghiệp tính theo đơn vị ngày thay vì hàng tuần như trước đây. Tuy nhiên hãy đầu tư suy nghĩ về phần ảo hóa trong các quy trình CNTT đang tồn tại trong hệ thống, khi đó bạn sẽ ngăn chặn được các vấn đề bảo mật đúng lúc. Bạn cũng sẽ giảm được một số vấn đề gây đau đầu cho sau này.

Quy trình là một điều quan trọng. Việc suy nghĩ về vấn đề ảo hóa không chỉ về quan điểm công nghệ mà còn phải từ một quy trình cụ thể”. Nếu bạn đang sử dụng một ITIL để trợ giúp các quy trình CNTT, thì bạn cần phải nghĩ về sự ảo hóa sẽ thích hợp như thế nào với kiến trúc tiến trình đó. Nếu bạn đang sử dụng các thao tác tốt nhất, hãy xem xét xem sự ảo hóa có hợp với các quy trình đó không.

Một ví dụ: “Nếu bạn có một tài liệu để bổ sung thêm sự chắc chắn cho máy chủ (liệt kê một tập hợp các chuẩn bảo mật và các nguyên tắc cài đặt một máy chủ mới) thì bạn nên thực hiện theo các bước đó đối với một máy ảo như thực hiện đối với máy vật lý”, Hoff nói như vậy.

Tại Arch Coal, nhóm CNTT của Abbene vừa mới tiến hành điều đó: “Chúng tôi dành những thao tác tốt nhất cho việc bảo mật đối với máy chủ vật lý và áp dụng chúng cho mọi máy ảo. Các bước được thực hiện giống như việc gia cố hệ điều hành, chạy chương trình chống virus trên mỗi máy ảo và bảo đảm cho các bản vá lỗi, thực hiện các bước tương tự như các thủ tục được thực hiện trên các máy ảo”.

3. Bắt đầu với những công cụ bảo mật đang tồn tại, nhưng cần thận trọng

Liệu bạn có cần phải có một bộ bảo mật và các công cụ quản lý hoàn toàn mới cho môi trường ảo của mình? Câu trả lời ở đây là không. Hãy bắt đầu với các công cụ bảo mật đang tồn tại của bạn cho các máy chủ vật lý và áp dụng chúng vào môi trường ảo một cách có ý thức, Hoff nói như vậy. Nhưng cần phải thúc ép các hãng hướng dẫn bạn cách bắt kịp với những rủi ro bảo mật ảo hóa, và cách họ tích hợp các sản phẩm khác sau này. “Có một lỗi thuộc về ý thức bảo mật liên quan đến việc chấp nhận các công cụ cho môi trường ảo”, Elliott của IDC nói, “Nó cần phải được tiến hành sớm trong vấn đề thị trường”, với các công cụ bảo mật mới được thiết kế cần phải chú ý đến vấn đề ảo hóa. Điều đó có nghĩa rằng bạn phải phát huy những gì đã có và khởi động những tiềm năng các hãng một cách mạng mẽ hơn thường lệ.

Đừng thừa nhận các công cụ mức nền tảng (như các công cụ VMware) đã là đủ tốt đối với bạn”, Elliott nói, và hãy xem xét các yếu tố mới cũng như các hãng quản lý đã có. Thúc đẩy các hãng này mạnh hơn nữa và cung cấp sự hướng dẫn cho họ.

Jim DiMarzio, một CIO tại Mazda Bắc Mỹ, tuân theo chiến lược này trong doanh nghiệp của anh ta. DiMarzio nói rằng anh ta rất mong muốn có khoảng 150 máy ảo sản xuất phục vụ vào tháng 3 năm 2008. Hiện anh ta đang sử dụng máy chủ ảo cho các máy chủ Active Directory, máy chủ in ấn, máy chủ ứng dụng CRM và Web Server.

Để bảo đảm các máy ảo này, DiMarzio đã quyết định tiếp tục với hệ thống tường lửa đang tồn tại và các sản phẩm bảo mật hiện có Tivoli Access Manager của IBM, các công cụ tường lửa của Ciscocông cụ kiểm tra IDS của Symantec. Tại Arch Coal, Abbene và nhóm của anh ta đang mắc kẹt với các công cụ bảo mật mà họ đang sử dụng, trong khi cũng đang đầu tư những công cụ của BlueLane và Reflex Security. “Bảo mật và những thay đổi của các hãng cần phải cố gắng bắt kịp và hiện chúng đang ở phía sau”, Abbene nói.

Sản phẩm VirtualShield của BlueLane cho Wmware, tuyên bố rằng nó có thể bảo vệ được các máy ảo thậm chí trong trường hợp nơi các bản vá lỗi nào đó chưa kịp thời được cập nhật, cũng như việc quét một cách tự động cho các vấn đề có thể, nâng cấp các lĩnh vực đang gặp vấn đề và bảo vệ chống lại được một số mối đe dọa từ xa.

Virtual Security Appliance (VSA) của Reflex Security, sản phẩm mà Hoff mô tả cùng với phần mềm của BlueLane là một trong những sản phẩm đang nổi đáng quan tâm hiện nay, nó đã phục vụ thành công cho hệ thống phát hiện xâm phạm ảo (IDS), bổ sung một lớp các chính sách bảo mật bên trong thiết bị vật lý có các máy ảo. Nó có thể khóa tấn công vào chương trình hệ thống cung cấp môi trường máy tính ảo cùng với các vấn đề khác trong tương lai, nhóm của abbene chỉ ra như vậy. Abbene cũng nói nhóm CNTT của anh ấy cũng đã thảo luận về việc bổ sung thêm một tường lửa bên trong thứ hai để cách ly hơn nữa các máy ảo, nhưng anh ta lo lắng điều này có thể gây ảnh hưởng đến hiệu suất của các ứng dụng ảo.

Elliott của IDC đã trích dẫn một vài công cụ bảo mật cho hệ thống ảo khác cũng đáng giá kiểm tra: PlateSpin, được biết đến với các công cụ chuyển đổi luồng tải vật lý - ảo và các công cụ quản lý luồng tải; Vizioncore, được biết đến với các công cụ backup mức file; Akorri, được biết đến với các công cụ cân bằng luồng tải và quản lý hiệu suất; và các hãng lưu trữ EqualLogic, gần đây bị mua lại bởi Dell và được biết đến với các sản phẩm iSCSI storage-area network (SAN) được dùng để tối ưu cho máy ảo.

4. Hiểu về giá trị của Hypervisor được nhúng

Có thể bạn đã được đọc về hypervisor đã nhúng, nhưng nếu chưa đọc thì đó sẽ là một lĩnh vực mà các lãnh đạo CNTT nên hiểu. Lớp chương trình hệ thống cung cấp môi trường máy tính ảo hypervisor trên một máy chủ phục vụ như một cơ sở cho việc bao bọc tổ chức các máy ảo. ESX Server 3i hypervisor của VMware gần đây đã tuyên bố rằng nó được thiết kế với kích thước rất nhỏ (32MB) cho các lý do bảo mật, duy nhất không có mục đích bảo mật hệ điều hành. (Không hệ điều hành không có nghĩa là không bảo trì hệ điều hành).

Một số hãng phần cứng như Dell và HP gần đây đã tuyên bố rằng họ sẽ phát hành các phiên bản có nhúng các chương trình hệ thống cung cấp môi trường máy tính ảo VMware này trên các máy chủ vật lý của họ. Trong những vấn đề cơ bản, một hypervisor được nhúng sẽ an toàn hơn vì nó nhỏ hơn, Elliott của IDC nói vậy. “Mã càng cồng kềnh bao nhiều thì khả năng bị thủng càng lớn bấy nhiêu, điều này đã trở thành một phần trong quyết định kiến trúc của bạn”.

Các hypervisor được nhúng sẽ là một xu hướng lớn hiện nay, Elliott nói, và bạn có thể thấy điều này từ hầu hết các hãng máy chủ cũng như một số công ty chưa nhảy vào cuộc với lĩnh vực này trước đây. Phoenix Technologies, một hãng đi đầu trong lĩnh vực phần mềm BIOS gần đây đã tuyên bố rằng hãng này sẽ nhảy vào cuộc chơi với hypervisor và bắt đầu bằng một sản phẩm với tên gọi HyperCore: Nó là một hypervisor cho các máy tính bàn và laptop, sẽ cho phép người dùng có thể bật máy tính, sử dụng một trình duyệt Web cơ bản và client email mà không cần phải đợi khởi động Windows. (HyperCore sẽ được nhúng bên trong BIOS).

Sự cạnh tranh và cách tân trong thị trường hypervisor sẽ là một điều tốt đối với các doanh nghiệp, Hoff nói. Kết quả cuối cùng có thể cho ra các sản phẩm với kích thước nhỏ và hiệu năng cao.

Một bề mặt tấn công nhỏ không chỉ mang lại lợi ích cho một hypervisor được nhúng. Nhóm CNTT của Mazda đang mong đợi sự xuất hiện của máy chủ Dell có các chương trình hệ thống cung cấp môi trường máy tính ảo được nhúng VMware ESX server, Kai Sookwongse, giám đốc hệ thống CNTT, LAN/Server cho DiMarzio tại Mazda đã nói như vậy. “Một trong những tính năng mà chúng ta đang mong đợi đối với ESX được nhúng của Dell là tất cả các image máy ảo có thể nằm trên SAN”, Sookwongse nói. “Khi chúng ta khởi động máy chủ, nó có thể khởi động từ image trên SAN, Sự quản lý tập trung này và sự bảo mật của nó cũng có nghĩa Mazda có thể đặt hàng một máy chủ mà không cần ổ nếu muốn, cho những mối liên quan bảo mật vật lý”.

5. Không chỉ định vượt quyền hạn cho các máy ảo

Hãy nhớ rằng khi bạn trao quyền truy cập mức quản trị cho một máy ảo là khi đó đã trao truyền truy cập vào tất cả các dữ liệu trên máy ảo đó. Hãy nghĩ một cách thận trọng về loại tài khoản gì và sự truy cập gì mà các nhân viên phụ trách các nhiệm vụ backup cần thiết, Wolf của Burton Group đã khuyên như vậy. Thêm về vấn đề này, một số hãng thứ ba cung cấp những lời khuyên không còn tác dụng đến vấn đề bảo mật VM liên quan đến việc lưu trữ và các vấn đề backup. Wolf bổ sung thêm “Một số hãng thậm chí còn không tuân theo các thực hành tốt nhất của VMware cho VMware Consolidated Backup của chính họ”.

Các chuyên gia phát triển ứng dụng chỉ cần sự truy cập một cách tối thiểu. “Ứng dụng của chúng tôi, mọi người có thể truy cập và chia sẻ hoặc tối thiểu hóa sự truy cập…nhưng không truy cập vào hệ điều hành”, Carter nói như vậy. Điều này có thể giúp kiểm soát được máy ảo trong khi đó tăng được góc độ bảo mật.

6. Xem cách bạn lưu trữ dự phòng

Một số doanh nghiệp có hệ thống lưu trữ dự phòng trên SAN ngày nay, Wolf nói. Nó là một điều không thể để thực hiện toàn bộ vấn đề lưu trữ quá nhiều, anh ta nói.

Nếu bạn đang làm việc với VMotion, công cụ của VMware cho việc tạo linh động các máy ảo, bạn có thể gán một số lưu trữ khu vực trong SAN. Tuy nhiên bạn lại muốn làm chỉ định lưu trữ đó trở lên cốt lõi hơn. Hãy chờ đợi, N-port ID virtualization—một công nghệ cho phép CNTT có thể gán việc lưu trữ đối với một máy ảo – là một tùy chọn đáng đầu tư, Wolf khuyên như vậy

7. Bảo đảm những đoạn mạng được cách ly tốt trong toàn hệ thống

Khi doanh nghiệp đi vào vấn đề ảo hóa không nên bỏ qua những vấn đề rủi ro về lưu lượng mạng. Tuy nhiên một số những rủi ro này có thể tình cờ bị bỏ qua, đặc biệt nếu các lãnh đạo CNTT bận trong trong khi đang thực hiện kế hoạch ảo hóa. “Rất nhiều tổ chức sử dụng hiệu suất một cách đơn giản hóa như thể thức thực hiện hợp nhất”, Wolf nói. (Khi đánh giá xem máy chủ ứng dụng nào cùng được đặt như các máy ảo trên một máy vật lý thì nhóm CNTT cần tập trung đầu tiên về sự thiếu hụt hiệu suất như thế nào đối với các máy chủ ứng dụng khi bạn muốn tránh việc hỏi bất kỳ các máy vật lý nào phải chịu quá nhiều tải). “Họ quên vì những hạn chế về bảo mật trên lưu lượng mạng mà lẽ ra không nên đặt các VM đó cùng nhau”, Wolf nói như vậy. Ví dụ, một số CIO đang quyết định không cho phép bất kỳ máy chủ ảo nào trong DMZ (cũng được biết đến như một vùng không được dưới sự quản lý của một chính sách, một mạng con có các dịch vụ mở rộng đối với Internet, như các máy chủ thương mại điện tử, được bổ sung thêm bộ đệm giữa Net và LAN).

Nếu bạn có một số VM trong DMZ, có thể sẽ muốn chúng trên các đoạn mạng tách biệt về vật lý đối với một số hệ thống khác, Wolf nói. Còn Abbene nói: Tại Arch Coal, nhóm CNTT đã nghĩ về DMZ ngay từ những ngày đầu.

Họ đã triển khai các máy chủ ảo trên LAN bên trong nhưng không có chỗ nào công bố sự đối phó. “Đó là một chìa khóa đã được quyết định sớm”, Abbene nói, công ty có một số máy chủ FTP bảo mật và một số máy chủ khác đang thực hiện công việc thương mại điện tử mức nhẹ trong DMZ; tuy nhiên hiện chưa có kế hoạch đối với các máy ảo ở đây, ông ta nói thêm.

8. Quan tâm về Switch

Khi nào dùng Switch và khi nào không? “Một số các switch ảo thao tác giống như hub ngày nay: Mỗi cổng được phản chiếu đến tất cả các cổng khác còn lại trên switch ảo”, Wolf của Burton Group đã nói như vậy. Microsoft Virtual Server hiện đang có vấn đề này, Wolf nói. ESX Sserver của VMware thì không, và cũng không đối với cả Citrix XenServer. “Mọi người nghe về thuật ngữ ‘switch’ và nghĩ đến sự cách ly. Nó hoàn toàn khác nhau tuỳ vào từng hãng khác nhau”, Wolf nói. Microsoft đã nói rằng vấn đề switch sẽ được giải quyết trong sản phẩm phần mềm ảo hóa máy chủ Viridian sắp tới của họ, Wofl bổ sung thêm.

9. Kiểm tra các máy ảo “yếu”

Các máy chủ không chỉ là mối lo lắng của bạn. “Mối đe dọa lớn nhất là bên phía trình khách - các máy ảo yếu”, Wolf của Burton Group đã nói như vậy. Vậy máy ảo yếu là gì? Hãy nhớ rằng, người dùng của bạn có thể tải và sử dụng các chương trình miễn phí như VMware Player, trong khi đó chương trình này lại cho phép người dùng laptop và máy trạm đặt bàn có thể chạy bất kỳ máy ảo nào đã được tạo bởi VMware Workstation, Server hay ESX Server.

Nhiều người dùng hiện nay thích sử dụng các máy ảo trên máy trạm hoặc laptop để cách ly các vấn đề liên quan đến công việc của họ, hoặc các hành động liên quan đến gia đình. Một số người sử dụng VMware Player để chạy đa hệ điều hành trên một máy; sử dụng Linux như một hệ điều hành cơ sở nhưng lại tạo một máy ảo để chạy các ứng dụng Windows. (các nhóm CNTT cũng có thể sử dụng VM Player để đánh giá các thiết bị ảo - các sản phẩm phần mềm đang được phát hành cấu hình như một VM).

Đôi khi, các máy ảo này không có được mức vá hợp lý”, Wofl nói vậy. “Các hệ thống này bị khai thác hướng tới mạng của bạn và hiện tất cả các hệ điều hành không được quản lý”.

Có rất nhiều rủi ro mà bạn có thể sẽ gặp phải”, Wofl nói, nên lưu ý rằng các máy đang chạy máy ảo yếu có thể là một trung tâm phát tán virus hoặc worm đối với mạng vật lý. Ví dụ, ai đó rất dễ dàng trong việc đưa lên một máy chủ DHCP để phân phối các địa chỉ IP giả mạo. Đó thực sự là một tấn công từ chối dịch vụ DoS. Ít nhất, bạn cũng sẽ tốn tài nguyên CNTT vào việc thử kiểm tra vấn đề này. “Nó thậm chí có thể đơn giản trong lỗi của người dùng khi giới thiệu các dịch vụ với mạng sản xuất”.

Vậy cách ngăn chặn với các máy ảo này như thế nào? Bạn nên kiểm soát tất cả những người có VMware Workstation, nhất là với những người mới bắt đầu (vì cần phải tạo VM). Chuyên gia CNTT có thể sử dụng một chính sách nhóm để ngăn chặn các vấn đề thực thi nào đó như những vấn đề cần cài đặt VM player, Wolf nhấn mạnh thêm. Một số cách khác: Thẩm định định kỳ ổ cứng người dùng.

Vấn đề này đã trở thành điểm khác trong tranh luận giữa người dùng và CNTT chưa, nơi người dùng hiểu biết muốn sử dụng các máy ảo của họ làm việc giống như máy tính họ làm việc tại nhà? Câu trả lời ở đây là chưa, Wofl nói như vậy.

Nếu bạn muốn cho phép các máy ảo trên máy tính của người dùng, thì các công cụ như Lab Manager của VMware và một số công cụ quản lý khác có thể giúp kiểm soát và kiểm tra được các máy ảo này.

10. Nhớ đến thời gian lên kế hoạch ngân quỹ cho vấn để ảo hóa

Hãy dành một ngân quỹ nhất định cho vấn đề bảo mật ảo hóa và quản lý nó. Bạn có thể không cần phải coi nó là ngân quỹ nằm ngoài ngân quỹ bảo mật của bạn, nhưng việc liệt kê và dành ngân quỹ được cho tất cả các vấn đề cần bảo mật là một điều cần thiết”, Elliott của IDC đã nói như vậy.

Thêm nữa bạn cũng cần phải thận trọng với những chi phí bảo mật khi thực hiện các tính toán ROI ảo hóa. “Bạn có thể sẽ không thấy được sự giảm tốn kém hơn trong bảo mật vì cần phải áp dụng một số công cụ bảo mật đang tồn tại của mình đối với mỗi VM mà bạn tạo”, Hoff đã nhắc nhở như vậy. Nếu bạn không đoán trước được những chi phí này thì nó trở thành một vấn đề to sau này.

Theo Gartner, đây cũng là lỗi thông thường mà chúng ta hay mắc phải. Có thể đến 2009, khoảng 90% các triển khai ảo hóa sẽ có những chi phí ngoài dự kiến, như chi phí bảo mật, theo phát biểu của phó chủ tịch Neil MacDonald, Gartner.

Thứ Bảy, 22/12/2007 11:59
31 👨 707
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp