现在使用 VMware 的组织如果计划继续使用该虚拟机监控器,就别无选择,只能购买年度订阅捆绑产品。
正如 Computer Weekly 之前报道的那样,Broadcom 已经简化了 VMware 产品系列,该系列现在仅以订阅方式提供,并且按每个核心收费。一些组织,比如 Telefónica Germany,通过购买二手 VMware 许可并使用第三方支持服务,成功维持了永久许可。
不过,最近的一则安全警示将问题聚焦于在不升级到 VMware 订阅的情况下,维持 VMware 许可拷贝运行的难度。
上个月,Broadcom 发布了一则关键安全公告,涉及包括 ESXi、Workstation 和 Fusion 在内的多个 VMware 产品中的三处新的零日漏洞。其中最严重的是 ESXi 和 Workstation 中的一个关键漏洞。
据 Rapid7 表示,这些漏洞并非远程可被利用——它们要求攻击者必须已经在受影响的 VMware 虚拟机上具有特权访问权限。
在博客中,Rapid7 指出有可能将这三处漏洞串联利用:“这是一种情况:攻击者如果已对虚拟机内的客户操作系统进行攻陷并获得了特权访问(管理员或 root),就可能进一步入侵虚拟机监控器本身。”
Broadcom 指出,除公告中标明为“已修复”的版本外,管理员应假定所有版本的 ESXi、vSphere 和 VCF 均受影响。“如果对系统是否受影响存在任何疑问,应假定该系统存在漏洞,并立即采取措施,”Broadcom 的安全公告警告道,并补充说这些漏洞已在“野外”被利用。
补丁获取情况
对于运行较旧版本 ESXi 的 VMware 用户,Broadcom 已为 ESX 6.7 发布了补丁,所有客户均可通过支持门户获取该补丁。而对于 ESX 6.5 用户,Broadcom 表示需要通过扩展支持流程才能获得补丁。
Broadcom 指出,已过一般支持期的产品不会进行评估,并敦促正在使用 vSphere 6.5 和 6.7 的组织升级至 vSphere 8。
为了应用 Broadcom 发布的补丁,IT 决策者需要升级到 Broadcom 的 VMware 订阅——除非他们愿意使用覆盖受支持 vSphere 版本的二手许可。该订阅服务为最新支持的 VMware 发布版本提供补丁和更新。
如果管理得当,转向 VMware 订阅可能是一种合适的策略,尤其适用于那些能够使用完整 VMware Cloud Foundation (VCF) 套件并且需要同时管理虚拟化与容器化的平台的组织。
VMware 订阅的好处
正如 DXC Technology 云及基础设施部门领域首席技术官 Holland Barry 在近期的一篇 Computer Weekly 文章中指出的那样,适应 VMware 不断演变的许可模式的组织正发现优化成本和提升效率的机会。
他说:“许多组织已经成功地通过用集成解决方案替换冗余功能(例如日志记录、可观察性、自动化、软件定义网络、微分段以及超融合基础设施),从而精简了 IT 资产,这些集成解决方案现已包含在他们的 VMware Cloud Foundation 模型中。”
对于 CCS Insight 的首席分析师 Bola Rotibi 来说,VCF 的架构原则基于构建互操作性。在混合和多云部署场景下,VCF 为企业提供了一种一致的企业级云体验。
然而,Rotibi 认为,VCF 最大的优势之一在于其能够在同一平台上支持基于虚拟机和 Kubernetes 的工作负载。
“许多企业仍在运行依赖虚拟机的传统应用程序,”她表示,但这些企业同时也希望利用云原生、容器化的应用程序进行现代化转型。“VCF 并不迫使企业在两种架构之间做出选择,而是实现了两者的无缝集成。”
Barry 建议 IT 领导者将硬件配置调整到 VMware 新的每 CPU 插槽最低 16 核要求,他认为这对最大化性能和价值至关重要。“通过精心重新校准内存与 CPU 的比例,企业确保了工作负载能够在无额外开销的情况下最优运行,”他补充道。
算得上是一种风险
许多 IT 领导者都不愿冒险让 IT 系统在未打补丁的状态下运行,但 VMware 是一款成熟的产品,这意味着管理安全 VMware 环境的最佳实践已经非常成熟。
据第三方支持服务提供商 Spinnaker Support 表示,VMware 客户不得不自行判断旧版本、不受支持的产品是否会受到新发现漏洞的影响。以最近影响 VMware 6.7 版本的漏洞为例,Spinnaker Support 表示需要打补丁的功能在 5.5 版本中并不存在,因此对于使用旧版本 VMware 产品的组织来说风险可忽略不计。
尽管 Broadcom 将 VMware 产品捆绑在一起简化了产品系列,但根据 Spinnaker 的经验,这也意味着 VMware 的补丁会针对许多组织根本不使用的产品发布。
Spinnaker Support 网络安全副总裁 Craig Savage 表示:“Broadcom 的捆绑策略使得客户难以区分真实的安全风险与噪音。当所有东西都被包装成庞大而昂贵的套装时,要弄清楚究竟哪些部分需要保护——哪些不需要——就变得更加困难。”
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。