1. Giới thiệu về công nghệ ảo hóa
Ảo hóa là một bước tiến mạnh mẽ cho việc tối ưu hóa việc triển khai xây dựng một cách hiệu quả nguồn tài nguyên hệ thống bằng cách tách rời mối liên kết vốn có giữa phần cứng, phần mềm, dữ liệu, đường truyền, lưu trữ thành từng phần riêng biệt.
Những lợi ích của ảo hóa là rõ ràng, bao gồm cả nhiều dịch vụ được cung cấp, tiện ích máy chủ tốt hơn, tăng cường năng lực cho các trung tâm dữ liệu. Các nhà cung cấp đám mây có thể đạt được mật độ thông tin cao hơn, có nghĩa là khả năng dự trữ tốt hơn, và các doanh nghiệp có thể sử dụng ảo hóa để giảm chi phí đầu tư vào cơ sở hạ tầng cũng như gia tăng hiệu quả hoạt động.Tuy nhiên, ảo hóa cũng mang tới nhiều mối lo như an ninh của hệ điều hành chạy như một máy khách, an ninh về lớp của trình ảo hóa, cũng như những mối đe dọa mới đặc thù cho sự ảo hóa, các cuộc tấn công bên trong nội bộ các máy ảo VM (virtual machine) và các điểm mù; mối lo về sự thực thi đang nảy sinh từ CPU và bộ nhớ được sử dụng đối với an ninh và tính phức tạp vận hành từ “sự bò trườn của các máy ảo VM” như một thách thức đối với an ninh. Những vấn đề mới như các khe hở tức thời (instant- on gaps), các dữ liệu hỗn tạp (data commingling), khó khăn trong việc mã hóa các ảnh máy ảo, sự phá hủy dữ liệu còn dư sót lại là những vấn đề đang được quan tâm. Trong thực tế có nhiều dạng ảo hóa, nhưng bài viết này tập trung phân tích vấn đề ảo hóa Hệ điều hành.
Ngoài ra, ảo hóa cũng hứa hẹn tạo ra khả năng điện toán với hiệu quả cao hơn. Số lượng thực các bộ xử lý, bộ nhớ, và các nguồn lưu trữ … cần có cho hệ thống ngày nay sẽ được
điều chỉnh và quyết định bởi các tính năng tính toán của ảo hóa.
Ưu điểm lớn nhất mà ảo hóa mang lại cho chúng ta là khả năng hợp nhất hàng loạt các server dịch vụ vào một server duy nhất. Thông thường, các server chỉ sử dụng rất ít tài nguyên của hệ thống, trong đó phần lớn là bộ vi xử lý và bộ nhớ. Điều đó cũng có nghĩa là chúng ta đang lãng phí tài nguyên và tăng chi phí cho những gì mà ta không cần. Việc triển khai hàng loạt các máy ảo (mỗi máy áo tương ứng với 1 dịch vụ) trên một server duy nhất sẽ nâng cao hiệu suất sử dụng tài nguyên hệ thống.
Chính vì vậy, ảo hóa chính là tương lai của điện toán đám mây (cloud computing). Mặc dù không phải là bắt buộc, nhưng những mô hình “đám mây” sử dụng công nghệ ảo hóa sẽ có hiệu năng và tính linh hoạt cao hơn nhờ có khả năng chia sẻ các tài nguyên ảo thông qua hệ thống mạng. Thực ra, chia sẻ tài nguyên không phải là cái gì mới mẻ, nhưng bằng cách sử dụng ảo hóa, chi phí triển khai hệ thống sẽ được giảm đáng kể và bên cạnh đó còn đảm bảo được tính hiệu quả trong việc sử dụng các tài nguyên.
1.1. Ưu điểm.
• Quản lý đơn giản.
• Triển khai nhanh.
• Phục hồi và lưu trữ hệ thống nhanh .
• Cân bằng tải và phân phối tài nguyên linh hoạt.
• Tiết kiệm.
1.2. Nhược điểm.
• Vấn đề bảo mật và lưu trữ vật lý.
• Yêu cầu máy phải có cấu hình cao.
• Việc quản lý tập tin.
1.3. Các vấn đề quan tâm
Để thực thi ảo hóa hệ điều hành, những vấn đề sau đây cần được xem xét và xây dựng phương án xử lý.
Việc tăng cường khả năng bảo vệ phù hợp cho triển khai cài đặt máy ảo (bao gồm tường lửa, Hệ thống phòng ngừa xâm nhập trái phép máy chủ (Host Intrusion Prevension System - HIPS ), bảo vệ ứng dụng web, chống virus, giám sát tính toàn vẹn của tệp, giám sát các tệp lưu ký) có thể được phân phối thông qua phần mềm trong từng máy trạm hoặc sử dụng một máy ảo nội tuyến kết hợp với các giao diện lập trình ứng dụng API, dựa trên trình ảo hóa như VMware Vshield.
• An ninh của trình ảo hóa.
Bản thân trình ảo hóa cần phải được “khóa” và được tăng cường sử dụng những biện pháp bảo vệ tốt nhất. Các doanh nghiệp và người sử dụng ảo hóa cần quan tâm đến việc quản lý, thiết lập cấu hình và vận hành phù hợp, cũng như an ninh vật lý của máy chủ có chứa trình ảo hóa.
• Các tấn công bên trong máy ảo và các điểm mù.
Ảo hóa có một ảnh hưởng lớn lên an ninh mạng. Các máy ảo có thể giao tiếp với nhau qua một bo mạch chủ của phần cứng thay vì qua mạng. Kết quả là, các kiểm soát an ninh tiêu chuẩn của mạng bị “mù” đối với cách thức truyền dẫn này và không thể thực hiện được việc giám sát hoặc khóa nội tuyến. Các thiết bị ảo nội tuyến sẽ giúp giải quyết vấn đề này khi tiến hành tích hợp mức giao diện lập trình ứng dụng (API) với các trình ảo hóa và các khung quản lý ảo hóa. Việc cài đặt một tập hợp đầy đủ các công cụ an ninh lên từng máy ảo cũng là một cách tiếp cận khác.
Việc cài đặt phần mềm an ninh được thiết kế cho các máy chủ vật lý lên một máy chủ ảo có thể gây ra sự “thoái hóa” nghiêm trọng trong sự thực thi, khi một số nhiệm vụ về an ninh như quét virus chủ yếu tập trung vào CPU. Môi trường chia sẻ trong các máy chủ được ảo hóa có thể bị xung đột về tài nguyên. Đặc biệt với các máy để bàn ảo hoặc các môi trường mật độ cao, các phần mềm an ninh cần phải có là các phần mềm “ảo hóa” hoặc nó cần phải thực hiện các chức năng về an ninh trên một máy ảo duy nhất để hỗ trợ các máy ảo khác. Sự khác biệt trong mật độ có thể sẽ lớn hơn gấp tới 20 lần, phụ thuộc vào tải và khả năng thực thi của máy chủ.
• Sự phức tạp của vận hành của các máy ảo
Do các máy ảo có thể được thiết lập và cài đặt một cách dễ dàng nên dẫn tới sự gia tăng về số lượng các yêu cầu đối với các máy ảo trong các doanh nghiệp điển hình. Điều này tạo ra một giao diện dễ bị tấn công lớn hơn bởi xuất hiện thêm các lỗ hổng an ninh trong quá trình thiết lập cấu hình. Do đó, chính sách dựa vào sự quản lý và sử dụng khung quản lý ảo hóa là hết sức quan trọng.
• Các lỗ hổng tức thời.
Do tốc độ phát sinh các mối đe dọa rất nhanh nên sẽ tạo ra một tình huống: Một máy ảo có thể được thiết lập cấu hình an ninh khi nó được tắt, nhưng vào thời điểm nó được khởi động lại, thì những mối đe dọa đã tiến hóa, nên máy tính đã xuất hiện những điểm yếu mới. Những quy định về an ninh mạng và “việc vá ảo” sẽ giám sát đường đi đối với những cuộc tấn công được biết, trước khi nó có
thể lây lan tới một máy ảo được chuẩn bị hoặc được khởi tạo mới. Cũng có khả năng tăng cường các khả năng dạng Kiểm soát truy cập mạng NAC (Network Access Control) để cô lập các máy ảo đã phát sinh lỗ hổng cho tới khi các qui định các tệp mẫu của chúng được cập nhật và một quá trình quét được tiến hành.
• Mã hóa máy ảo.
Các “ảnh” máy ảo có khả năng bị tổn thương vì sự ăn cắp hoặc sửa đổi khi chúng ngừng hoặc đang hoạt động. Giải pháp cho vấn đề này là mã hóa các ảnh máy ảo mọi lúc, nhưng khi đó sẽ xuất hiện những mối lo về sự thực thi. Đối với những tổ chức, doanh nghiệp đòi hỏi mức độ an ninh cao hoặc các môi trường được điều chỉnh, thì chi phí cho sự thực thi mã hóa là đáng giá. Mã hóa phải được kết hợp với với các kiểm soát và theo dõi kiểm toán hành chính để ngăn ngừa “ảnh chụp” máy ảo, kẻ tấn công có thể truy cập tới các dữ liệu trong ảnh chụp máy ảo đó.
• Sự hỗn tạp giữa các giữ liệu
Có mối lo rằng các lớp dữ liệu khác nhau (hoặc việc chứa các lớp dữ liệu khác nhau của các máy ảo) có thể bị trộn lẫn nhau trong cùng một máy vật lý. Theo các điều khoản của PCI, phương thức triển khai pha trộn được khuyến cáo nên sử dụng kết hợp VLAN, tường lửa và IDS/IPS để đảm bảo cô lập các máy ảo. Cơ chế sử dụng cũng được khuyến cáo phân thành các chủng loại và chính sách cho các dữ liệu được quản lý. Trong các môi trường ĐTĐM, mẫu số chung nhỏ nhất về an ninh có thể được chia sẻ một cách tiềm tàng cho tất cả các nhà cung cấp dịch vụ cùng tham gia trong một môi trường ảo.
• Phá hủy dữ liệu máy ảo.
Khi một máy ảo được chuyển từ máy chủ vật lý này sang máy chủ vật lý khác, thì các doanh nghiệp cần đảm bảo rằng, không bit dữ liệu nào bị bỏ quên trên ổ đĩa mà có thể phục hồi lại được. Mã hóa tất cả các dữ liệu là giải pháp cho vấn đề này. Hơn nữa, nếu một máy ảo được chuyển đổi trong khi nó đang chạy, thì bản thân nó có thể gặp rủi ro trong quá trình chuyển đổi nếu sự mã hóa không được sử dụng.
• Giả mạo ảnh máy ảo.
Các thiết bị và các ảnh máy ảo được thiết lập cấu hình trước nhưng có thể không đúng hoặc có thể bị giả mạo trước khi người dùng khởi động chúng.
1.4. Các công nghệ ảo hóa hiện nay.
• Công nghệ Vmware ESX Server
• Công nghệ Hyper-V 1.5. Các khuyến cáo.
Để đảm bảo an ninh , an toàn trong môi trường ảo hóa , cần lưu ý các vấn đề sau:
• Nhận diện các dạng ảo hóa của nhà cung cấp đám mây mà người dùng đang sử dụng dịch vụ.
• Cân nhắc cách tiếp cận theo vùng, với việc sản phẩm (production) được tách biệt với kiểm thử/phát triển (test/dev).
• Cân nhắc sự thực thi khi kiểm thử và cài đặt các công cụ an ninh máy ảo, vì trong quá trình thực thi sẽ có sự khác biệt lớn cần quan tâm tới các công cụ an ninh của máy chủ ảo.
2. Đặc điểm nổi bật của ảo hóa.
Dường như mọi nơi bạn đến, người ta đều đang đang nói đến ảo hóa. Các tạp chí công nghệ thổi phồng
công nghệ này trên các mặt báo. Các phiên bản ảo hóa luôn được đề cao trong các hội nghị công nghệ. Và các nhà cung ứng công nghệ mô tả tại sao sản phẩm của họ lại tân tiến nhất trong công nghệ ảo hóa. Tại sao ảo hóa là chủ đề nóng hổi như vậy? Có 4 lý do để trả lời cho câu hỏi trên như sau:
2.1. Tối ưu hóa công suất sử dụng phần cứng.
Ngày nay, hệ thống máy chủ ở các trung tâm dữ liệu thường hoạt động với 10 hoặc 15% tổng hiệu suất. Nói cách khác, 85% hoặc 90% công suất của máy không được dùng đến. Tuy nhiên, một máy chủ dùng chưa hết công suất vẫn chiếm diện tích sử dụng và hao tổn điện năng, vì vậy chi phí hoạt động của một máy không được sử dụng đúng mức có thể gần bằng với chi phí khi chạy hết công suất. Như vậy, quả thật là chúng ta đang lãng phí các tài nguyên của cả hệ thống. Hãy xem điều gì sẽ xảy ra? Với sự không ngừng cải tiến các đặc điểm hoạt động của phần cứng máy tính, máy tính trong năm tới sẽ có công suất gấp đôi máy tính của năm nay (đây là tương lai có thể thấy trước được). Hiển nhiên, phải có một cách nào đó hữu hiệu hơn để công suất của làm việc của máy tương ứng với tỷ lệ sử dụng và đó là những gì mà ảo hóa có thể làm được – bằng việc dùng một phần cứng duy nhất để hỗ trợ cùng một lúc nhiều hệ thống. Ứng dụng ảo hóa, các công ty có thể nâng cao đáng kể hiệu suất sử dụng phần cứng và sử dụng vốn hiệu quả hơn. Vì vậy, đây chính là lý do tại sao ảo hóa giúp nâng cao công suất của máy tính lại khiến mọi người quan tâm đến vậy.
2.2. Nhu cầu lưu trữ dữ liệu.
Các trung tâm dữ liệu đang dùng hết dung lượng của mình. Trong 20 năm qua, các tài liệu kinh doanh đã và đang được chuyển từ dạng giấy tờ sang dạng điện tử. Đây là quá trình số hóa tài liệu. Sự xuất hiện của Internet đã thúc đẩy nhanh hơn nữa sự chuyển biến này. Các công ty muốn trao đổi trực tiếp với khách hàng và đối tác qua Internet. Đương nhiên, việc này thúc đẩy việc các tài liệu kinh doanh được vi tính hóa. Trong một thấp kỷ qua, ảnh hưởng của Internet khiến một số lượng lớn các máy chủ được đồng loạt đưa vào sử dụng tại các trung tâm dữ liệu để lưu trữ hệ thống tài liệu khổng lồ này và vấn đề của nó là: khả năng lưu trữ của cac trung tâm dữ liệu này đang cạn kiệt và sự gia tăng nhanh chóng dữ liệu đòi hỏi phương pháp lưu trữ dữ liệu mới .Những phương pháp này thường được gọi là ảo hóa lưu trữ, có nghĩa là việc lưu trữ này
có khả năng được xử lý bởi bất kỳ một phần cứng độc lập nào. Với khả năng host cùng lúc các hệ thống khách trên một máy chủ vật lý duy nhất, ảo hóa cho phép các công ty nâng cấp trung tâm dữ liệu, do đó cắt giảm chi phí mở rộng dung lượng trung tâm dữ liệu. Đây là lợi ích lớn nhất của ảo hóa, vì chi phí xây dựng các trung tâm dữ liệu có thể lên tới hàng chục triệu đôla.
2.3. Ứng dụng công nghê xanh để đạt hiệu quả sử dụng năng lượng tốt hơn.
Tác động của cuộc cách mạng xanh khiến các công ty đang tìm cách giảm lượng năng lượng tiêu thụ -- và một trong số những nơi họ nhận thấy có thể làm được điều đó đầu tiên là các trung tâm dữ liệu. Để thấy rõ sự quan tâm của mọi người đến lượng năng lượng tiêu thụ trong các trung tâm dữ liệu, hãy xem xét thực tế sau: “Một cuộc nghiên cứu do
một nhà khoa học thực hiện chỉ ra rằng trong những năm 2000 đến năm 2005, lượng năng lượng các trung tâm dữ liệu ở Mỹ tiêu thụ tăng đã gấp đôi. Hơn nữa, nhà khoa học này cũng dự đoán tới cuối thập niên này,
lượng năng lượng tiêu thụ sẽ tăng 40%. Lượng năng lượng các máy chủ ở trung tâm dữ liệu tiêu thụ và để làm mát chiếm khoảng 1,2% tổng năng lượng tiêu thụ ở Mỹ.
Dựa trên kết quả của cuộc nghiên cứu, Cơ quan bảo vệ môi trường Hoa Kỳ (EPA) đã thành lập một nhóm làm việc để xây dựng các tiêu chuẩn cho các kế hoạch và việc tiêu thụ năng lượng của máy chủ và áp dụng các tiêu chí “Ngôi sao năng lượng” (ES) mới cho các máy chủ sử dụng năng lượng hiệu quả.
Do chi phí để vận hành các máy tính cùng với thực tế là nhiều máy tính choán hết trung tâm dữ liệu và đang hoạt động với hiệu suất thấp, khả năng giảm số lượng máy chủ vật lý có thể giúp cắt giảm rất đáng kể tổng chi phí năng lượng của các công ty.
2.4. Chi phí quản lý hệ thống rất lớn và ngày càng tăng.
Các máy không hoàn toàn tự hoạt động. Mỗi máy chủ đều cần đến sự giám sát và cung cấp điện của hệ thống quản lý. Các tác vụ quản lý phổ biến của hệ thống bao gồm: giám sát trạng thái của phần cứng; thay các chi tiết phần cứng bị lỗi; cài đặt hệ điều hành (OS) và phần mềm ứng dụng; bảo trì và sửa chữa nhanh ứng dụng; quản lý các tài nguyên máy chủ then chốt như bộ nhớ và đĩa; và sao lưu dữ liệu máy chủ sang cá c