淺析虛擬化環境中運行SQL Server安全性

對于數據庫管理員(DBA)們來說，在虛擬化環境中運行SQL Server的往往最擔心的就是安全問題，但根據專家的觀點，其實并無必要。SQL Server在虛擬化世界中的安全問題與傳統數據庫環境的安全挑戰并無太多差異。

按照經驗來看，SQL Server往往是最后一個進行虛擬化的應用，主要是因為DBA在這個領域并不熟悉，把一個極為關鍵的應用放到虛擬化環境中，很有可能會造成性能方面的瓶頸，更不用說還有安全性問題需要解決。

虛擬化的優勢主要在于削減硬件需求，減少停機時間并易于維護，此外還可以降低數據中心的電力和制冷需求。出于成本的考慮，這對于一個企業來說是非常具有吸引力的，因此用戶都在尋求為SQL Server數據庫實施虛擬化的部署。

SQL Server咨詢顧問Denny Cherry在他的書中提到：“針對安全問題，虛擬化并不會帶給企業更多的挑戰，因為你的SQL Server運行在Windows服務器上，而其他底層在運行hypervisor。虛擬SQL Server和物理SQL Server是沒有區別的，所以我們所熟悉的SQL Server最佳實踐還是成立的。”

在某種程度上，這種安全性的憂慮源自于缺乏對虛擬化環境的了解，認為添加額外層會將安全性復雜化，SQL Server架構更容易被暴露在外部。這其實是一個嚴重的誤區。

事實上，專家認為無論是虛擬化SQL Server還是物理SQL Server，其安全性挑戰都存在，并無太大差別。獨立咨詢顧問Brent Ozar表示：“如果你使用SAN，那數據就會存儲在共享的設備上，如果SAN管理員想要把數據拷貝出去的話，那他只需要做一個快照就可以了。像這樣的安全性問題，無論是虛擬化環境中還是物理環境中，都一樣存在。”

標準的安全性準則

農業信貸銀行AgFirst并沒有讓安全性成為阻礙部署SQL Server虛擬化環境的問題。他們在所有的應用上幾乎都是用了虛擬化技術，該公司的數據庫架構師K. Brian Kelley介紹，公司使用虛擬化技術主要是為了尋求一個高可用的解決方案，特別是準對那些小型的SQL Server數據庫，公司不希望花太多錢在購買硬件服務器上。

Kelley說：“一些人認為虛擬化會降低系統的安全性，這其實是錯覺。SQL Server安全最薄弱的環節在于操作系統或者部署在它之上的應用程序，這與虛擬化環境還是物理環境并無關系。”

無論哪種環境，要確保SQL Server安全性的最佳方法，就是制定一系列標準的安全準則。在物理環境中，網絡管理員和DBA需要定期檢查哪些人員訪問了數據中心，針對虛擬化環境依然如此，管理員需要定期檢查誰訪問虛擬服務器。但有這樣一個問題需要注意，能夠進入數據中心接觸到物理服務器的人畢竟是少數，而能夠訪問虛擬服務器的人會更多。

Ozar認為，無論物理環境還是虛擬環境，還有大量的DBA在進行SQL Server安全性保護工作時，并沒有制定一個清晰標準的安全準則。而且在細微的地方做的還不夠，DBA需要想清楚所有的安全隱患，并一一“對癥下藥”。

他說：“想一想，如果有人明天偷走了你的備份磁帶會是怎樣?如果這個問題很嚴重的話，那么你就需要對所有的數據進行加密，當然可以使用SQL Server自帶的透明數據加密功能，對于虛擬化環境依然是如此。DBA需要加強對SQL Server的安全防范意識。”