傳統(tǒng)的安全方法在虛擬化的世界里依然是可以使用的。用戶不僅需要對服務器和相關的應用做保護，而且需要監(jiān)控哪些人可以對哪些資源進行訪問，對進入數(shù)據(jù)中心的訪問者做鑒定和管理。賦予在數(shù)據(jù)中心內(nèi)工作的用戶以適當?shù)耐P權限，并在他們完成認證后給予相對應的訪問權限。

另外，您還需要確保那些數(shù)據(jù)中心內(nèi)可以做數(shù)據(jù)更改操作的人員都是擁有授權才這么做的，也就是說現(xiàn)有的安全方面的經(jīng)驗在虛擬環(huán)境里是可以獲得延續(xù)的。如果您把現(xiàn)有的終端用戶服務進程都遷移到了虛擬機和VSO上，那么傳統(tǒng)的安全方法也應該位于同一級別上。

然而不幸的是，在為VSO提供物理資源的資源池級別上，從設計原理看，并不具備和用戶進行交互的能力。資源池內(nèi)的物理機僅僅是裝載了虛擬化引擎的宿主機而已。因此，也只有管理員和技術人員可以跟物理機對話。

在這些環(huán)境里（資源池和VSO），通常運行時都帶有一個特定的安全文本文件，而該文件是可以被中央目錄服務所訪問的。我們需要考慮分離不同環(huán)境中各自的安全文本文件。畢竟，如果資源池僅僅供管理員和技術人員訪問，看起來我們根本沒有必要把資源池相關的安全文本文件開放為用戶共享模式。

事實上，用戶不需要對資源池做任何操作。對于最終用戶而言，他們也不需要和網(wǎng)絡環(huán)境中的路由器或交換機做交互。因此，您需要為資源池和VSO創(chuàng)建獨立的安全文本文件。例如，如果您運行了VMware或Citrix的虛擬機管理程序，而您的網(wǎng)絡服務運行于Windows服務器上，那么資源池的安全文本文件會自動實現(xiàn)和VSO安全文本文件的分離（圖1）。這也就是為什么宿主機環(huán)境（通常情況下是Linux）和VSO通常運行于不同操作系統(tǒng)的原因。這種方式也自然實現(xiàn)了兩個安全文本文件的隔離。

（圖一）

然而，如果宿主機和虛擬機所運行的操作系統(tǒng)相同的情況下，您就需要手動分離資源池和VSO的安全文本文件。這種情況一般發(fā)生在采用了微軟的Hyper-V虛擬化管理程序，之上運行Windows網(wǎng)絡環(huán)境的時候。同樣，當我們運行了Linux網(wǎng)絡環(huán)境而同時又采用了同一Linux系統(tǒng)下的虛擬化管理程序時也會發(fā)生。

以Windows網(wǎng)絡環(huán)境為例，您需要分別為資源池和VSO創(chuàng)建獨立的活動目錄樹，然后同時斷開它們之間的所有連接。在兩個獨立的架構中創(chuàng)建分離的安全文本也是為了防止發(fā)生從一個環(huán)境向另一個環(huán)境中的滲漏（圖2）。

（圖二）

實現(xiàn)資源池的安全

為資源池創(chuàng)建獨立的安全文本僅僅是實現(xiàn)虛擬架構安全的第一步。您還需要和其它的一些安全措施來配合使用。如下是一些額外的考慮：

掌控所有到資源池的訪問以確保只有被信任的個體才具備訪問權限。每個訪問資源池的個體應該具備一個命名賬戶，而該賬戶和普通用戶用來訪問VSO的賬戶命名應該是有所區(qū)別的。

掌控所有到資源池管理工具的訪問。只有被信任的個體擁有訪問資源池組件，如物理服務器、虛擬化管理程序、虛擬網(wǎng)絡、共享存儲，及其它內(nèi)容相關的管理工具的權限。向未被認證的用戶開放管理工具的訪問權限，就等同于向那些惡意操作開放了IT系統(tǒng)架構。

管理虛擬化引擎或管理程序的訪問，以及其上運行的虛擬機。所有的虛擬機都應該是首先通過系統(tǒng)管理員來創(chuàng)建和保護的。如果某些最終用戶，如開發(fā)人員、測試人員或培訓者，需要和網(wǎng)絡環(huán)境中的虛擬機交互，那么這些虛擬機應該是通過資源池的管理員來創(chuàng)建和管理的。

控制虛擬機文件的訪問。通過合理的訪問權限來實現(xiàn)所有包含了虛擬機的文件夾以及虛擬機所在壓縮文件的安全。無論是在線的還是離線的虛擬機文件都必須獲得嚴格的管理和控制。理論上來講，您需要同時對虛擬機文件的訪問做監(jiān)管。

通過在宿主機上盡可能實現(xiàn)最小化安裝來減少主機可能被攻擊的接口。請確保虛擬化管理程序的安裝盡可能的可靠。

部署適合的安全工具。為了支持合理的安全策略，您的系統(tǒng)架構應該包含各種必要的工具，如系統(tǒng)管理工具、管理清單、監(jiān)管和監(jiān)視工具等等，包括一些常用的安全設備。

分離網(wǎng)絡流量。在一個正確設置的資源池系統(tǒng)中，應該包含有幾個不同的私有網(wǎng)絡用于：管理數(shù)據(jù)流量、在線遷移流量以及存儲系統(tǒng)流量。所有的這些網(wǎng)絡都應該和系統(tǒng)架構中的公網(wǎng)流量相分離。

#p#

深層防護策略

除了安全文本文件的隔離外，您還應該考慮對虛擬化環(huán)境采用深層防護策略。這個像城堡一樣的CDS防護模型是由Resolution Enterprise Ltd.,公司提出來，該公司位于英屬哥倫比亞省維多利亞地區(qū)，是一家獨立的數(shù)據(jù)中心業(yè)務咨詢公司，致力于推動深層防護方式。很多企業(yè)的傳統(tǒng)服務提供網(wǎng)絡都采用了深層防護策略，通過執(zhí)行相應的策略實現(xiàn)對資源池的保護（圖3）。
 

用戶可以對資源池或者VSO采用CDS防護模式。如下的表1也顯示了在您通過部署CDS模式對資源池進行保護時，分別在五個不同的層次上需要去考慮的問題。在這個表里，也同時列出了在對最終用戶網(wǎng)絡和終端網(wǎng)絡（如資源池網(wǎng)絡）分別部署CDS模型時采取的組件之間的差異。

表1

#p#

預防過度管理

改善資源池安全性的另外一個方法就是限制資源池管理的數(shù)量。擁有兩個具備系統(tǒng)環(huán)境完全訪問權的管理員已經(jīng)足夠了。然后，根據(jù)數(shù)據(jù)中心規(guī)模大小的不同，您可以基于每個角色所需完成的任務內(nèi)容分配不同的權限和角色定義。資源池管理員應該可以管理VSO網(wǎng)絡。如果您有足夠的人手，那么最好把不同的管理角色分開。如果做不到的話，至少要確保管理在每個不同的環(huán)境中使用不同權限的管理角色登錄。請理解，如果管理員在某個環(huán)境中扮演了指定的角色，那么他在不同的環(huán)境中完成同一動作時所扮演的角色是不同的。

最后，任何時候都要注意對虛擬機的保護。例如，虛擬機在暫停休息的狀態(tài)下和活動的虛擬機相比其風險更高。因為當虛擬機處于保存狀態(tài)時，會在內(nèi)存中生成一個文件，而該文件保留了虛擬機所有相關內(nèi)容。通過分析這個文件可以找到相應的用戶名和密碼相關信息。同樣，如果有人竊取了虛擬機文件并帶出了辦公室，也會帶來很大的風險。一旦他們在私有環(huán)境中搭建了該虛擬機，那么就很容易闖入我們的環(huán)境中。

【編輯推薦】

1. 調(diào)查發(fā)現(xiàn)：企業(yè)虛擬化部署安全不足
2. 五招提升虛擬服務器安全
3. Gartner:至少60%虛擬服務器安全性低于常規(guī)