虚拟化的安全演变之路：万变不离其宗

　　你心目中的虚拟化是怎样的？看起来就像个“杯具”，它每天要强迫许许多多的客户端虚拟机器 （VM） 一起分享同一台主机的资源，但所有虚拟机器做的却是一样的工作，差别只在于之前不必分享而已。虚拟化占用了无数原本可发挥效用的昂贵服务器时间。当然，与其让服务器各自占用一台硬件，不如将服务器整合到虚拟化平台上，只不过，让一部主机上的数十台虚拟机器将主机 CPU 资源耗费在相同的运算工作上仍旧是一种浪费。

　　但为何我们要允许这样的事情发生？答案就在其衍生出的安全性与弹性问题。桌面虚拟化的前身是 Citrix Presentation Server，这套软件牺牲了全面虚拟化的弹性来获取更高的使用者密度。相较于在全虚拟化监管程序 （hypervisor） 上运行早期的虚拟桌面 VDI，Citrix 让每一部硬件可容纳多达 10 倍的承载量。Parallels （前身为 SWsoft） Virtuozzo 是另一个类似的例子。

　　技术的演进总是不断循环。过去 40 年来，我们从集中式架构 （大型主机） 演进到分散式架构 （个人电脑），再演进到混合式架构 （主从运算），最後又回归到集中式 （云计算） 和混合式 （云端 + AJAX） 架构，总之，我们总是在不断追求效率和全新功能。

　　虚拟化也依循着同样的循环。一开始，我们使用共用的大型主机，然後演进到 Citrix Presentation Server 的半虚拟化 （paravirtualization），然後迈向循环的高峰 ─ 全虚拟化：VMware 和 Xen （某种程度上）。

　　过程之中，我们导入了云端这个元素，需求因而爆增。结果呢？一味地追求虚拟化环境更高效能的结果就是，我们再度回归到半虚拟化的方向。以下通过这个案例我们可以看出一些问题，VMware 深知当主机上的所有客端系统在同一时间做同样的事 （例如同时执行恶意程序扫瞄） 会对效能造成什麽影响。在同一时间执行定期扫瞄的结果就是系统慢到不能忍受，而且也增加 VDI 基础架构的建置成本。我们应当知道如何在共享的环境下有效率地部署和管理我们的软件。

　　因此，我们利用 VMware 的 Vsafe API 创造了 Deep Security 这项产品，将恶意程序侦测工作移到单一虚拟装置上执行，为同一台主机上的所有客端虚拟机器提供无需代理程序的病毒扫瞄服务。这项改变让我们能够将每台主机所能容纳的虚拟机器数量提高 3 倍。

　　在架构上，这看起来很像半虚拟化，因为我们将每一台虚拟机器都用到的功能移到单一虚拟装置上，由这个装置来服务所有其他虚拟机器。事实上，这就像 Windows 和其他操作系统服务安装在操作系统内的各个应用程序一样。

　　我们正朝向一种熟悉的运算模式迈进：如同在“操作系统”（也就是虚拟化监管程序和其他共用功能） 上安装许多“应用程序”（也就是虚拟机器） 并且透过 API 呼叫来彼此沟通一样 （此时虚拟化监管程序就像系统汇流排）。而且我预测，未来虚拟化监管程序最後会包含 Microsoft Azure AppFabric （前身为 .NET） 的所有功能，只不过套用对象变成个别主机和整个云端而已。这真是太酷了。维基百科和 Microsoft 对 AppFabric 都有很完整的描述。

　　万变不离其宗，只不过变得更快、也更好。