【IT168 技术】一般人都会认为，私有云是最最安全的云计算模式，因为是由企业自身直接掌控云计算的安全控制运行。但是，如同众多理论或产品原型一样，其在现实世界中所面临实际问题的复杂性往往是难以预料的，也就是说新事物在带来利益的同时也对我们提出了安全性新命题的挑战。

　　最大的挑战来自于减少障碍、创建和改变生产虚拟镜像。让我们来想象一下私有云环境是如何随时间而演变的：员工创建“一次性”镜像以满足关键日期或质保协助的要求，从而导致虚拟机蔓延现象的产生，由于这种半归档虚拟镜像可能会无限期地存在下去，这样就会对安全带来威胁。快速镜像重用也可能导致镜像的不当使用，例如使用开发镜像作为生产应用程序的基线。

　　现在来看，这些问题也是老生常谈了;在传统物理数据中心世界中，服务器蔓延现象和配置问题都是普遍存在的。所不同的是，私有云中的相关限制已消失不见。而在传统数据中心中，采购硬件的需求还是受到一定限制的或已得到了控制;而在公共云计算中，与企业外部进行交互的需求(或根据镜像支付费用)也延缓了相关扩张速度。在私有云中，唯一还起作用的限制因素就是存储和处理能力，这是一个近乎没有上限的上限。

　　预防这些问题通常是呼吁企业的自律。但是，对于那些深刻理解“没有任何一个 预防措施是100%有效”这句话的安全企业来说，检测和预防具有同等的重要意义。让我们来看看这些企业是如何通过检测不当配置或“恶意”镜像以及镜像不当使用来控制虚拟机蔓延现象的。

　　查找恶意镜像

　　在任何虚拟化部署中，镜像都如同雨后春笋般迅速出现，但一般来说还是处于受控和合法的状态。企业的目标不仅仅是识别是否有变化;它将通过定义合理的变化应该是什么并将其作为比较标准来识别那些不当变化。

　　现在，很容易得到镜像的列表——市场上的每个管理程序都默认提供该功能。而最困难的一部分是“了解那里合理的变化是什么”。因为有了明确何为标准的需要，所以使用普通管理程序的详细目录功能将变得极具挑战性。你需要了解比现有镜像更多的信息;为了找到恶意镜像，你需要了解现有镜像应该是什么样的，同时你需要了解这些镜像是如何进行配置的。

　　有一些适用于这类应用的策略，但其中最有效的是结合发现功能和执行资产管理与库存跟踪的工具。如果你已经拥有一些实现类似功能的工具(变化源于你从传统数据中心所作的迁移工作)，最好利用这些工具，诸如IBM Tivoli和SolarWinds Orion之类的现有库存/发现软件。

　　但是，既然推动云计算部署实施的一般原因都是节省成本，那么也就无法保证你能够顺利完成那些商业工具的采购任务，因此选择若干个免费替代工具是非常有必要的。Spiceworks免费、易于使用，且具有发现网络(内置)和虚拟镜像(通过工具实现)的能力。请注意，发现网络只是找到可用、有响应的主机，所以你还可能需要使用两套发现功能的工具。

　　开源软件FusionInventory也同样是免费的(但是需要花功夫进行配置和使用)，该软件包括了SNMP、NetBIOS和IP搜索功能(即寻找“活的”镜像)，同时还通过代理和扩展为虚拟机提供了数据。配置FusionInventory将是一项极具挑战性的工作，但是它提供了一个预配置的虚拟设备，它将有助于进行现场配置和运行(虽然并不推荐它作为生产部署)。

　　查找不当使用

　　查找恶意镜像和不当配置镜像是很重要的，但是当对特定类型进行适当配置镜像(例如“QA WebLogic服务器)被用于全部各种目的而不是原定目的(如”生产支付应用程序)时，将会发生什么情况?

　　从历史经验来看，这个问题是很难解决。很多人都在关注管理程序软件领域的演变——例如VMware的vShield App5的预防数据丢失功能，该功能可确保搜索恶意数据更易于管理，但由于a)花费大量金钱，b)对我们大多数人来说是“未来状态”，其责任在于在短期时间内同时查找和控制数据。一个策略是防止数据丢失(DLP)。

　　以前已经有大量的文章介绍了云计算迁移之前和迁移期间的DLP，但是我这里介绍的的DLP是在镜像上的情况(在云计算迁移之后)，即在测试/开发镜像上寻找生产数据的临时权宜之计。你可以通过集成DLP代理和测试与开发基线镜像来做到这一点。如果你已拥有了DLP，你可以直接使用;如果你没有，可以使用诸如OpenDLP或MyDLP之类的免费替代工具来监控入站和出站数据流，如信用卡号、社会安全号、以及定制用户提供的正规表示。这两个软件都有可用于设置和快速投产的虚拟设备。

　　通过关注目录变更和数据驻留位置的变化，企业可以解决私有云中一些与虚拟机蔓延现象相关的安全挑战。