Q&A:前Citrix CTO Simon Crosby透露微虚拟化计划

日期: 2012-07-04 作者:Bridget Botelho翻译:张冀川 来源:TechTarget中国 英文

Simon Crosby演讲时通常会引起人们的注意——不只是因为这位Citrix前CTO对虚拟化略知一二,还因为他可能随时说出不应该说出的话。   Crosby在一年前从Citrix公司辞职并与两位技术专家——开源虚拟化项目Xen的创始人Ian Pratt和Phoenix Hyperspace的创建者Gaurav Banga联合创办一家称为Bromium的公司,这一举动引起了桌面虚拟化行业的关注。很多人都想知道他们是否能够成就下一件大事。   尽管结果仍有待观察,但到那时会有很多人相信Bromium公司在云中交付可信的桌面基础设施的目标。

到目前为止,该公司已经募集了3500万美元,在全世界有4……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Simon Crosby演讲时通常会引起人们的注意——不只是因为这位Citrix前CTO对虚拟化略知一二,还因为他可能随时说出不应该说出的话。

  Crosby在一年前从Citrix公司辞职并与两位技术专家——开源虚拟化项目Xen的创始人Ian Pratt和Phoenix Hyperspace的创建者Gaurav Banga联合创办一家称为Bromium的公司,这一举动引起了桌面虚拟化行业的关注。很多人都想知道他们是否能够成就下一件大事。

  尽管结果仍有待观察,但到那时会有很多人相信Bromium公司在云中交付可信的桌面基础设施的目标。到目前为止,该公司已经募集了3500万美元,在全世界有40名雇员,称之为Microvisor的微虚拟化技术的测试版已经足够成熟并用于测试。

  Crosby接受了SearchVirtualDesktop.com网站的专访,谈到了Bromium公司的创新以及他在桌面行业、VDI以及安全现状方面的观点。

  Q:请问在过去的一年您一直在做什么?

  Simon Crosby: 我们已经发现人类与计算机系统之间存在阻抗不匹配现象,有三种情况可以用来说明这种现象。

  首先,在某种情况下你和我容易上当受骗。我们会打开劣质的文档或附件因为我们自然而然地相信这些文档是没问题的。

  其次,人们编写了数千万行的代码,总是会存在bug,所以坏人总能进入我们开发的系统。

  最后,是人们对上述问题的反应。IT会说“废话,我们现在做什么?”我们建造城墙试图保护自己。但问题是建造城墙让IT成为了障碍。

  但是我们必须走到城墙之外保持竞争力,因为城墙花园是生产企业的障碍。这不是IT的错,而是人类与计算机系统之间存在的阻抗不匹配导致的。

  Q:您打算如何解决这个困境?

  SC: 我们从第一代虚拟化中学到的是创建一个更糟糕的城墙。现在我们将使用硬件虚拟化的魔力,在任务级、操作系统内部应用硬件虚拟化,因此每次你打开一个文档,单击一个连接或者打开一个附件,该任务在微虚拟机内部由Microvisor无形地隔离开。
 
  在配置了4GB内存,基于Inetl-VT技术的PC机中,我们能够在一秒钟内轻松创建数百台微虚拟机。我们使用硬件创建了粒度非常细的隔离。

  比如,你点击Facebook 的URL,微虚拟机将立刻捕获并隔离该任务,这一切操作都是在后台自动进行的。

  Q:系统对这些微虚拟机进行持续的隔离,这一定会导致一些时间延迟。

  SC:不,这一点儿也不会。我们能够先于用户微虚拟化实例。这就是进步所在,如果不是这样的话,那么整件事将以失败而告终。而这恰恰正是虚拟桌面失败的原因:因为它破坏了用户体验。

  系统内的一切都是与生俱来的,将该系统安装在使用时间没有超过两年,配置了2GB内存的PC机上,这样你就拥有了一个天生对恶意软件具有免疫能力的系统。

  这是我们认为的在未来的硬件系统中构建隔离性的正确方式。当改变域时,实际上你所希望的是将硬件作为背景。我们的操作系统以及硬件接口的代码包括一万行代码,具备开放性和健壮性。

  使用这种方法你可以将受信和非受信的数据从桌面迁移到天生对攻击就具有抵抗力的系统中。该系统能够自我清理,因此镜像永远是最好的。

  Q:我认为Bromium研究与云相关的安全技术,但是您却描述了本地桌面虚拟化技术。

  SC:我们服务的部分用户认为我们是在做云——但事实并非如此。目前,所有人都在构建私有云,因为企业IT喜欢VMware而且他们认为VMware比公有云更安全,但是如果你有一万名雇员,那么就有1万个非受信的接入点访问私有云。

  如果客户端设备曾经在星巴克咖啡店使用过,那么你会信任这台设备吗?不会,你应该重新映像这台设备,因为在用户打开设备并使用开放的Wi-Fi后......问题就出现了。IT消费化存在的问题恰恰就是安全问题。

  Q: 但您的技术是通过安全使用云应用确保设备的安全。这种间接的方式是与云相关的。

  SC:是的,是用这种方式。

  Q: 只能在笔记本电脑或者PC上使用,能够将这种技术应用到其他设备——iPad或者上网本吗?

  SC:该技术依赖于x86平台上的硬件虚拟化,适用于所有的x86平台系统。因此你可以在x86服务器上使用该技术。但是我们并不关注在x86服务器上运行的系统......但是你可以使用该技术保护运行远程桌面服务以及终端服务。

  Q:如何管理Microvisor?

  SC: 一切都是天生的,因此你可以使用现有的系统制定你所信任的策略,而并不需要对不信任的策略进行描述,因为这无法穷尽。

  不用面对新的、棘手的管理问题,因为系统天生就能够处理受信和非受信问题。这种类型的系统正是用户想要的,而且你也不必为虚拟桌面而费心。

  Q:您是说不需要再使用虚拟桌面了吗?

  SC:VDI之船已经驶离港口。人们已经在使用VDI,而且有一些很好的用于合规性、安全性或远程雇员的用例,但是还有很多未实施的用例。比如,你不知道如何管理物理桌面,因此你才使用了虚拟桌面。这并不是个好办法。因为VDI价格昂贵而且在受到攻击时仍然很脆弱。

  你想要的是与生俱来就具有弹性的系统,你已经拥有了所有的管理工具,这样就不需要这些新的管理层了。

  Q:当您离开Citrix时,好像您对XenDesktop的VDI模型并不像对客户端虚拟化以及XenClient那样信心十足。现在您的态度是怎样的?

  SC: 是的。我们使用XenClient构建了非常安全的客户端hypervisor,然而我们设计的意义深远的虚拟化实现一直在伤害用户的体验。如果我是一名攻击者,那么我仍旧能够向这些虚拟机发动攻击。

  我们试图按照事物原有的监管模式对其进行监管,但是坏人却更聪明。我们仍旧在构建已过期的城墙。

  Q: 我认为终端安全公司比如赛门铁克将会采取行动提供与Bromium公司的产品类似的产品。您准备好与知名的竞争对手展开竞争了吗?

  SC: 人类与计算机系统之间仍旧存在着巨大的冲突,而终端安全人士已经无计可施......整个模式已经落伍而且所有人都知道这一事实。他们在价格方面面临着巨大的压力,然后有人说虚拟桌面比传统的桌面模式提供了更好的基础设施。

  我们已经进入了虚拟桌面和hypervisor的世界而且构建了更加安全的系统。但我不认为拥有了终端安全软件,因为我们没有进行检测、告警或补救。我们有一个天生更好的系统,但它不是满足终端安全市场需求的产品。终端安全提供了我们所需要的告警、加密以及其他功能。

  Microvisor是下一代虚拟化产品,从设计角度来讲它有所改变。它是采用不同方式的一种全新的架构,而且人们真正理解它需要时间。这就是我们目前在讨论产品之前讨论Microvisor的原因所在。

  现在我们拥有了一个测试程序,而且我们希望人们能够对其进行测试并告诉我他们自己的想法......在其得到人们赞美之前我们不会发布一款通用的产品。

  有关 Microvisor

  使用一个小的MSI软件包就可以部署Microvisor,对安装在本地的单个Windows桌面进行扩展。在执行微化虚拟机的过程中,试图对IT预先配置的黄金Windows镜像进行的所有改变都是写拷贝(CoW)。这意味着如果黑客改变Windows内核的内存页,只会修改立刻创建的内存页的本地拷贝,而不是原有的内存页。

  每个微虚拟机都有一个文件系统的视图,只包括CoW更新语义所需要的文件或最小权限。

  当用户选择一个窗口时,Microvisor会杀掉该任务的内存页并使用策略判断是否保存所有的新文件。Microvisor确保非受信的文件只能通过微虚拟机进行访问。

  Microvisor同样限制微虚拟机访问网络服务:不被信任的任务不能访问受信的网络或安全值更高的软件即服务或远程桌面服务程序。通过非受信的网路访问,安全值更高的网站需要建立安全的端到端VPN。

作者

Bridget Botelho
Bridget Botelho

资深专家

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐