虛擬化中的安全

在許多情況下，虛擬化改變了安全領域的規則，企業需要對各自的安全戰略進行相應調整。目前有一種普遍觀點，以為安全根本不成問題;因為所有虛擬化服務器都駐留在企業網絡內部的深處;因而自動得到了現有安全設備的保護。然而，與傳統計算環境里面的關系相比，虛擬平臺會導致IT資源之間出現完全不同、更加動態的關系，而這影響到網絡安全。

以下四個方面是需要考慮的虛擬化安全問題：

1. 集成還是分散保護虛擬服務器

正如在物理服務器上一樣，添加安全軟件會增加工作負載，消耗資源，降低性能。虛擬化的服務器相比物理服務器來說，能夠以更高的效率來利用資源，但這并不意味著一眼就能看到在何處、如何實施安全措施。是在每個虛擬機中安裝代理程序來保護它們的安全更好，還是說這樣做會消耗太多的資源，而認為使用某種可以監視一組VM的工具更好。

2. VM之間的通訊需要加密

虛擬化服務器不僅僅意味著能夠把多個操作系統集成到一臺機器中，它意味著在這臺機器中建立一個網絡，這臺機器中的所有VM能通過這個網絡相互通信，并能與運行在其他服務器上的應用，以及Internet進行通信。同樣的加密技術可以幫助鎖住會感染數據中心中運行的VM或系統的惡意軟件，即使一個VM受感染，仍能保護其余VM安全無恙。

3. 根據請求數據的環境執行安全策略

與MAC或IP地址緊密相聯的安全策略，在相關實體是虛擬時會變得效果不佳。當應用運行在虛擬機中時，安全設備必須考慮到誰想訪問、他們想訪問什么、何時何地訪問，以及他們是從什么設備而來。一個公有云或私有云中的虛擬機之間應當能夠執行同樣水平的安全策略，要能夠根據請求數據的環境而不是發出請求的MAC或IP地址來執行安全策略。

4. 仔細檢查過VM之間的地帶

運行虛擬服務器意味著運行額外的操作系統—VMware的vSphere、Citrix的Xenserver或Microsoft的Windows Server 2008—這些操作系統會受到黑客或針對VM或系統管理程序的惡意軟件的攻擊。惡意軟件不僅能通過與Internet的連接向虛擬機傳播，而且一旦感染防火墻內或物理服務器內的一個VM后(尤其當VM被設置為使它們能相互訪問的支持故障切換或災難恢復功能時)，會在VM之間傳播。Hochmuth說，即使虛擬化軟件拆除服務器之間的高墻讓它們可以共享空間、數據或工作負載之后，數據加密或采用身份保護措施也可以在服務器之間重建這個高墻來保護數據安全。

我們可以嘗試從以下五個點來加強虛擬化的安全：

第一：虛擬化定義：談論虛擬化安全時，要考慮的第一個重要因素就是定義虛擬環境到底是什么，因為這將界定對網絡構成的威脅類型。虛擬環境是指直接或間接涉及虛擬主機的一切。虛擬環境的部件包括但不僅限于管理工具、備份工具、存儲系統、虛擬網絡和物理網絡。如果對虛擬環境定義不當，就會導致企業忽視一個重要的安全問題，從而危及整個網絡。

第二：一開始就讓IT安全小組參與進來：如果安全小組在項目的后期階段才參與進來，必然造成安全系統經過改造后堆砌到網絡上的結果。安全方面變得異常復雜。不過復雜的解決方案和規程加大了配置出錯的可能性，結果實際上削弱了安全效果。Gartner公司近期的一份報告表明，99%以上的安全泄密事件是由配置不當引起的。

第三：安全機制引入到虛擬環境：虛擬環境是內部網絡的一部分，很容易遭到安全威脅，所以對它要像對內部網絡的其余部分那樣予以足夠有效的保護。防火墻等傳統的物理安全設備存在一大缺點，原因在于它們無法了解虛擬環境的內部情況。雖然物理安全設備能夠看清進出虛擬環境的每個數據包，但看不清內部流量情況。換句話說，如果某個虛擬機被感染，該虛擬機會傳染到整個虛擬網絡，物理安全設備卻毫無察覺。所以不管你在物理環境采用什么樣的安全戰略，虛擬化環境也要有一套同樣的安全戰略。如果你在應用程序之間以及網段之間采用內部防火墻機制，并開始對應用程序和網段進行虛擬化處理，或者甚至像一些主機托管公司那樣對數據中心縮減規模，那么你就需要把所有安全機制引入到新的虛擬化環境。

第四：留意虛擬局域網標記：物理安全設備廠商們聲稱，如果你使用虛擬局域網標記(VLAN標記)技術，就能把虛擬網絡擴展到虛擬環境之外。這從技術層面來說確實如此，但往往是深入了解虛擬網絡的一種笨拙方法。管理不同的虛擬局域網是件很復雜的事，而這種復雜性會導致出現錯誤，最終導致系統不安全。

第五：虛擬環境需要虛擬解決方案：領先一步的那些企業正在把防火墻和入侵防護系統(IPS)直接部署到虛擬環境中。它們在使用專門為保護虛擬網絡而設計的解決方案。這樣一來，它們就能直接深入了解虛擬機，并且從里面保護虛擬環境。虛擬安全設備可放置在虛擬環境內部的任何地方;這種更強的靈活性有助于保護最最復雜的虛擬網絡。

總之，企業在實施虛擬化戰略時，需要把安全放在最重要的位置。如果企業能夠確保虛擬環境是整個網絡架構的一部分，并且在所有網絡里面執行始終如一的安全策略，就有望大大減少網絡安全威脅。只有重視上述要考慮的因素，企業才能夠受益于這項創新技術，同時又不會面臨不必要的風險。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]