發展快速回應需求變化的IT環境

在9月23日至25日為期三天，微軟舉辦了一年一度的TechEd大會臺灣場，這次由微軟OEM事業群全球副總裁Steve Guggenheimer發表主題演講，他仍提到過去幾年微軟所大力提倡的動態IT（Dynamic IT），並以這項議題作為主軸，勉勵IT人員與開發者繼續成為推動資訊科技變革的推手，致力於IT基礎架構的最佳化，以便簡化核心架構的管理複雜度，使應用程式平臺在開發時更靈活，同時強化對商業務的生產力，協助企業能夠進一步地駕馭「人」、「流程」與「技術」。

上述這些發展願景，雖然微軟這幾年在各種場合已經講了無數遍，但能幫助微軟更進一步實現這些承諾的工具組合，在今年下半才總算全部到位。去年的Windows Vista與Office 2007，年初的Windows Server 2008、Visual Studio 2008，分別於6月和8月正式發表的Hyper-V Update for Windows Server 2008和SQL Server 2008。但這波產品與技術更新潮還沒有結束，與使用者前端網頁應用相關的Silverlight 2.0與IE8，也即將問世。

事實上，這幾套軟體平臺的改版幾乎都是微軟既定的行程，但全球IT人員更關注的是，這家公司和旗下的眾多產品如何脫胎換骨，通往服務導向和雲端運算的世界。

微軟目前的確已經開始為旗下多套既有的企業級產品，積極尋找新的發展方向，例如開發、轉換成代管或線上服務的模式，但這些計畫的詳細進度、發展策略，都必須等到微軟在10月舉辦的PDC大會，才能取得更多具體的資訊。

Hyper-V伺服器虛擬化打頭陣
對微軟伺服器平臺而言，虛擬化是企業IT基礎架構全面簡化的重大關鍵，但該公司的策略並不只是設法將所有伺服器虛擬化，而是連帶將應用程式、桌面、遠端主機集中存取等不同層次的虛擬化一起納入，最後這些不同類型的虛擬化應用，再交由System Center這系列原本就用來控管實體系統的IT管理方案，一併統籌管理。在今年TechEd當中，也新開不少專門針對虛擬化專屬的議程，Hyper-V是當中介紹最多的。

不過這畢竟是現階段設定的目標，System Center目前也只有Virtual Machine Manager 2008，能專門針對微軟的伺服器虛擬化Hyper-V加以控管（也支援VMware ESX）。至於其他的虛擬化，也許會以加裝Management Pack的方式，讓System Center的Operations Manager來加以控管。至少就目前來說，定位在遠端呈現層虛擬化的Terminal Services，就是用這種方式與System Center整合。

企圖形塑新一代應用程式的面貌
微軟在最近推出的幾個產品新版當中，不斷強調他們要建構新的應用程式執行環境，有些目標是已經推動一段時間的，其他的則是他們痛下決心企圖拿回桌面與網路體驗的主導權，像是模型化驅動的架構（Model-Driven）、整合的資料應用環境（Integrated Data），這在Visual Studio 2008和SQL Server 2008已經達到一定的程度，但對網際網路的使用者而言，微軟目前平臺所能提供的，例如Silverlight的現行版本，成熟度還無法讓人滿意。

Steve Guggenheimer特別提到「Oslo」這個全新的塑模平臺計畫，這部分也引起我們的注意。它將融合Visual Studio Team System和System Center，讓它們可以彼此協同運用，將應用程式與日常IT作業進一步整合在模型（Model）之下。

在開發環境上，微軟計畫透過模型的方式，提供更多針對不同IT人員角色所能使用的分析與設計工具，同時也協助開發出能針對日常IT作業需要的系統，並且建構一套新的宣告式程式語言「D」；在IT管理平臺上，微軟則打算建立一套能自動修復的基礎架構環境，並且使系統能夠感知到其他應用程式當中的模型、彼此連結，同時又能擷取這些模型當中的知識。

除了這兩套產品之外，Oslo牽涉的微軟平臺包括BizTalk Server 「6」和BizTalk Services、Office、SharePoint Server、Visio和.NET Framework「4」。

為什麼是這些產品組合？根據微軟官方網站上面的資訊顯示，BizTalk Server是因為開發SOA和BPM解決方案時，需要能提供組裝式應用系統的開發、管理與部署能力；BizTalk Services則是與跨企業的整合有關，微軟將提供一個以網頁服務為基礎的組裝系統代管環境，裡面將包含訊息傳遞、身分管理與工作流程控管等機制；.NET Framework則是企圖擴充WCF和WF這兩種環境，使它們也能具備以模型驅動的程式開發能力。

在Visual Studio下個版本「10」也與Oslo有關，它將在應用程式生命周期管理上，提供更全面的機制，以便IT人員用模型驅動的設計方式來開發分散式應用系統。

在上述這些應用平臺，還需要單一的中繼資料儲存庫（Metadata Repository），System Center 「5」、Visual Studio「10」和BizTalk Server 「6」之間會利用這種方式來管理與部署模型。

防護虛擬環境同樣需仰賴既有做法
今年TechEd的資訊安全相關議程也相當精彩，不只有來自國外的資安專家，還有微軟全球技術支援中心資訊安全專案經理林宏嘉所主講的〈刺殺據點──從駭客角度探討企業所面臨的安全威脅與挑戰〉，他實際展示U3隨身碟、電影DVD在背景竊取機密的手法，當場震懾許多與會者。

像是資深資安策略專家Steve Reilly在一場演講裡，則特地強調在虛擬化環境作好資安防護的重要性。除了補充介紹Hyper-V的架構特性，令所有人印象最深刻的，是他特別提醒實際建置與管理時容易忽略的安全角度，例如只記得修補和保護執行虛擬化系統的主伺服器（Host），卻忽略了裡面所執行的多臺虛擬機器，以及虛擬機器之間的網路連線控管，以及是否允許彼此存取。

Steve Reilly認為，在管理上，虛擬機器與實體設備無異，它們都應該嚴守彼此隔離的政策，應該各自獨立去存取資源池，而且需用不同管道去存取虛擬化的主區段（root partition），程式碼執行與作業程序所執行的空間，不該因資源共用而互相干涉、「污染」。因此，他認為VMwareVMsafe API的開放，某種程度已違反虛擬化彼此隔離的基本做法，而且對VMware Hypervisor允許某些第三方資安軟體，透過驅動程式的方式來執行防火牆、掃毒的程序，他也持保留態度。

對於虛擬化安全，他也很乾脆地下了結論：虛擬化的環境在資安控管上並沒有新的做法，應該繼續依照先前的存取控管方法，加以嚴格限制。因為IT人員仍舊得注意記憶體與I/O的保護、繼續限制虛擬機器／應用程式不得任意存取高階權限的指令集，而且同樣要做到部門與群組的分權管理。即便如此，Steve Reilly還是憂慮虛擬化集中管理之後，帶來風險無法分散的缺點，而且當虛擬化的磁碟（VHD檔）數量大幅增加且遍布世界各地時，該怎麼持續修補，將是一件很令人頭痛的事情。

隔天還有一場是〈Hyper-V的安全性與實作上的建議〉，是由微軟技術經理周伯彥和冠新資訊技術專員張碩峰所主講，內容主要是延續上述Steve Reilly的說法，同時再提出更多降低風險的具體建議。
例如在Hyper-V的主區段使用Server Core的模式來建置Windows Server，而且要強制禁止在上面執行非必要的應用程式或上網，執行這些動作應在虛擬機器裡面；此外，最好主伺服器能夠具備2張以上的網路卡，讓內部管理、虛擬機器連網與iSCSI連線，都分別配置不同的實體網路卡，同時只允許虛擬機器連上網際網路。文⊙李宗翰