关于虚拟机隔离技术企业须知

作者:课课家教育更新于： 2017-07-13 17:45:53

　　欢迎各位阅读本篇文章，本篇文章讲述了教大家如何在Linux中计划任务，课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　虚拟机隔离技术是一项很好的策略，能够有效防止病毒蔓延到整个云环境。关于隔离技术，Ed Moyle介绍了企业需要了解哪些方面。

　　Joseph Lister是现代外科之父，他防腐手术方法方面做出的开创性贡献，使他为人们所熟知。自1865年开始，Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

　　关于Lister的故事，其中有趣的一件是：医疗机构还没准备好接受Lister的技术要求的更改。例如，当时的手术器械通常包含多孔材料,如木材，它可能会诱发疾病;还有服装，包括手套，在手术操作中经常重复使用。虽然Lister的方法是开创性的，对病人能够直接产生更好的效果，但现实却相当无情;要想获得最好的效果，这要需要进行详细的调查、改造以及重新定位文化。

　　在现在的安全世界，Lister的方法可以类比为虚拟机(VM)隔离技术——利用分割和沙盒来控制云风险。举个例子，在2016年黑帽会议主题演讲中，White Ops的联合创始人Dan Kaminsky概述了microsandboxing技术，称为Autoclave，它的目的在于限制应用程序，与运行在外部的系统和系统组件之间相互感染。该技术的要点是创建一个隔离的、受控的环境，在其中可以执行关键的、与安全相关的任务。

　　此外，利用了容器化平台，如Docker或者Rocket的虚拟机隔离策略，除了运营方面的好处外，它更常用于云安全目的。由于容器化技术可以最大限度地减少手动配置更改(包括一次性更改)，因此可以使用容器来最小化更改。它还可以当作一个策略来合理化补丁，并在运行的应用中引入额外的分段。

　　最后，软件定义外围(SDP)和微分段技术已成为备选方案，帮助在云环境中引入虚拟机隔离。SDP能够创建“black cloud，”这是一个虚拟的外围网络，可以扩展到云环境中，如基础设施即服务。这使得组织内部的网络能够扩展到云环境中。

　　网络层的微分段技术使组织能够将安全策略分配特定的工作负载，并且，该策略能够在生态系统中的任何地方执行—包括连通性，同时，安全经理能够管理安全工具的运作，如入侵检测系统或者恶意软件和漏洞扫描。

　　对企业来说，虚拟机隔离是可行的

　　这些虚拟机隔离方法，在任何方式下都不是等效的;他们在范围和实现上都是不同的。也就是说，这些虚拟机隔离方法有一些共同之处：首先，这些虚拟机隔离方法都有助于减轻出现在云环境中的某类威胁。其次，同样的，Lister的方法需要收集数据，这些虚拟机隔离方法也一样。也就是说，并不是简单的从一个传统的、非孤立的方法迁移到这些虚拟机隔离模型。Kaminsky指出,目前，没有一个主要供应商支持Autoclave。

　　多年来，我们看到SDP的采用是缓慢且有限的;而且相比于安全目的，企业更看重部署和数据中心，所以就会经常部署容器技术。因此，对于那些想要利用虚拟机隔离技术作为安全措施的组织来说，这是否是真正的架构选项?当然是。但前提是，如果组织已经做好了准备，并且已经提前做了相关的调查。

　　考虑到这一点，如果想要探索这些方法是否正确，组织应该做些什么?想要采用这些策略的组织需要什么?

　　首先，也是最重要的，组织采用这一策略时，要识别出所有虚拟机隔离策略的复杂性。例如，你可知道你的强项在哪、系统组件和应用是做什么的，以及他们之间如何交互的。无论你是选择了虚拟机隔离还是分段技术，这都是事实。例如，组织如果不了解这些组件是如何共同工作的，就不能随机隔离多层应用组件，更不能奢望应用有效地运行。

　　重要的是，组织要理解所涉及的应用程序—它们是如何沟通的、它们的规范操作以及你想要隔离的关键部分是什么。如果目前这些你都不了解，或者如果你的理解有很大差距，那么，在走这条路之前，这是一个补救的办法。

　　同样，实现虚拟机隔离策略，意味着组织已经了解了想要将隔离技术扩展到工作负载、应用和系统的风险状况以及前景。可能还会产生额外的(与隔离相关的)复杂性，你在处理非敏感的应用或系统时，所面临的风险比较少。也就是说，如果没有充分理解这些应用可能会受到的风险及威胁，那么，就很难决定需要隔离什么。

　　最后，重要的是长期致力于虚拟机的隔离。记住，环境并不是静态的，环境经常改变来应对新的使用模式，改变和更新的发生可能取决于如何使用、业务需求、架构变化和许多其他原因。在创建虚拟机隔离模型上花费时间和精力，只会将虚拟机隔离模型引导到一个未知的、不受控制的状态。

　　什么是虚拟机?

　　某种代码的解释器，比如 JVM、.NET CLR。

　　操作系统层的虚拟机，比如 Wine。

　　硬件层的虚拟机，比如 Vmware、Parallel Desktop。

　　这几类是相关的，但在实现难度上，越往下层越难。

　　如果你了解 OS 架构，那应该知道最下层是硬件，之上是驱动，或者理解为 HAL(硬件抽象层)，再之上是 OS 内核，然后才是 OS Interface 和 Application。

　　其实虚拟机就是截获了原应传给其下层的指令信息，从而自己处理。所以虚拟机更像一个容器。

　　对于代码解释器，你不需要给我二进制代码，只需要中间代码，然后虚拟机处理后，再移交给 CPU 和存储结构。它模拟的是代码的执行。

　　对于操作系统虚拟机，所有 OS API 调用都会被该容器截获，经过处理后，移植到适配当前平台的指令。

　　对于硬件层虚拟机，其实是最复杂的工程，是虚拟化(Virtualization)技术的一大重点。是对硬件层以及 HAL 层的模拟。

　　如果你对 VMware 感兴趣，不妨去它的网站上找一些白皮书手册。VMware 的技术确实不是盖的，不仅可以和真实 PC 互传文件，甚至可以把一个虚拟机内的 Window 窗口拖到外层真实计算机中。

　　小结：相信最后大家阅读完毕本篇文章，肯定学到了不少知识吧?其实大家私下还得多多自学，当然如果大家还想了解更多方面的详细内容的话呢，不妨关注课课家教育平台，在这个学习知识的天堂中，您肯定会有意想不到的收获的!