当云计算、虚拟化成为企业IT的热门选择时,企业当中很多的物理网络服务器逐渐被淘汰,很多企业因此节约了大批的维护和管理费用,与过去的模式有着更大的优势。但是,最近出现很多的网络安全问题,让我们不得不重新思考企业在做虚拟化时,应该更加慎重,或者说是更多的前期主动式风险管控。
我们先来看几组数据。第一组,关于虚拟化发展前景方面的。截止2013年底,50.8%的企业将会实现超过50%的服务器虚拟化部署,而存储虚拟化部署的企业用户将达33.3%,并且其虚拟化程度也将超过50%。第二组数据是有关于虚拟化安全方面的,有19.3%的企业认为经验和技术的不足会影响虚拟化安全的规划和实施,而且预算和前期投入也是一个十分重要的因素。第三组数据是企业对于虚拟风险评估重要性的认识。34%的用户认为IT资产实现虚拟化后的业务风险评估也非常重要,持有“非常重要”和“重要”观点的用户总共大概有78.8%的企业。
另外,虚拟化相比较传统的物理环境,其管理安全性会变得更为复杂。因为虚拟化会促使更多的系统出现,应用程序和数据会在不同的主机系统之间进行迁移和蔓延,即原来比较单一的接触面积变成了目前的多面积接触,如图一;其次是目前很多企业的虚拟化是具有跨虚拟平台和环境的安全管理复杂性,因为这些硬件和软件是由不同服务商提供,因此存在着标准不统一、商业风险等不定影响因素,从而从另一方面增加了风险。
从以上的数据和实际情况可以看出,虚拟化将成为企业未来IT管理系统的发展趋势。但是,也由于虚拟化自身的特征的缘故,企业风险点的面积扩大,使得此类企业需加强风险管控,不仅做好前期主动式风险管控外,还得做好全过程的管控。
另外,虚拟化安全并非是个孤立的技术问题,而是需要根据业务需求和风险情况,与现有的IT安全举措进行的一个集成体。因此,企业需要做的是在已有的基础上进行扩充,而不是专门为虚拟化环境而重塑安全。更进一步来说,未来更好地管理分布式环境和减轻数据和服务器蔓延的风险,会需要有某些特定功能来支持。