當前，很多企業(yè)紛紛減少IT預算中資本支出的部分，轉而把更多的IT消費和預算側重于戰(zhàn)略性的技術上，比如數(shù)據(jù)保護。同時，這些企業(yè)也更加關注虛擬化在下一代的數(shù)據(jù)中心中所能夠扮演的重要角色，即節(jié)約硬件采購成本并壓縮空間，并延長數(shù)據(jù)中心的生命周期。在此過程中，調(diào)整企業(yè)的安全戰(zhàn)略以充分發(fā)揮虛擬化的優(yōu)勢成為企業(yè)不可回避的一個問題。

x86虛擬化平臺實現(xiàn)于軟件，它與其他軟件一樣，不可能完全沒有安全漏洞。VMware、Xen（現(xiàn)在的名稱為Citrix）和微軟等大型虛擬化平臺軟件廠商均已在最近幾年內(nèi)找到各自平臺的漏洞，但只要按時打補丁和升級，主機幾乎不會受到攻擊。ESX等系統(tǒng)管理程序已經(jīng)過加拿大通信安全部（CSEC）通用標準評估和認證評估與認證方案（CCS）驗證，獲得了EAL4+級通用標準認證。EAL4+級是在全球范圍內(nèi)受到《通用標準重組協(xié)議（CCRA）》的所有簽署方最高安全級別的認可。那么，當前虛擬機的安全問題具體表現(xiàn)在哪些方面？產(chǎn)生原因何在？又有哪些有效而可行的解決方案能助企業(yè)一臂之力？

虛擬機安全問題及應對之道

(一) 主機/平臺安全性
虛擬監(jiān)控系統(tǒng)（VMM）和虛擬機與物理網(wǎng)絡連接的虛擬主機平臺在可用配置選項類型方面存在很大差異，這主要取決于系統(tǒng)架構。例如，VMware的ESX虛擬主機服務器平臺與Red Hat Linux之間存在著許多相似性。此類系統(tǒng)的穩(wěn)固性大都能夠得到增強，客戶可以按照“最佳實踐”配置準則來提高系統(tǒng)安全性，其中包括設置文件訪問條件、管理用戶與用戶組、設置日志與時間同步參數(shù)。您也可以從The Center for Internet Security（CIS）、NSA和DISA等虛擬化平臺廠商處獲得許多免費的配置指南。除此之外，瘦身的Hypervisor，如VMware的ESXi僅占用32 MB空間， 有助于可以確保系統(tǒng)更安全、漏洞更少以及補丁次數(shù)更少。

(二) 安全通信
如果無法確保主機系統(tǒng)與臺式機或VMware vCenter等管理基礎設施組件之間的安全通信，那么竊聽、數(shù)據(jù)泄露和中間人攻擊等情況便會成為企業(yè)安全的嚴重威脅。如今，大多數(shù)知名平臺都支持通過SSH、SSL和IPSec展開必要通信，它們會啟用這全部三種通信方式或其中的一種。

(三) 虛擬機之間的安全性
虛擬化企業(yè)面臨的最大安全問題之一是虛擬機間流量的不透明性。主機平臺內(nèi)存在一個能與每臺虛擬機連接的虛擬交換機——實際上，主機的物理NIC被抽象成為了交換結構。許多企事業(yè)機構早已部署了網(wǎng)絡監(jiān)控與入侵檢測解決方案，來提高流量透明度和安全性，便于在出現(xiàn)重大網(wǎng)絡問題的第一時間收到預警。隨著虛擬交換機的引入，主機上的所有虛擬機之間的流量會全部包含在主機的虛擬交換組件內(nèi)，從而會嚴重損害透明度和安全性。幸運的是，大多數(shù)企業(yè)級虛擬化解決方案都內(nèi)建有傳統(tǒng)第2層交換控制特性，因而您可以在虛擬交換機上創(chuàng)建鏡像端口來監(jiān)控流量。

(四) 主機與虛擬機之間的安全性
“虛擬機逃逸 (VM Escape)”（惡意代碼“突圍” 虛擬機，在提供支持的虛擬主機上運行）一直以來都是信息安全性社區(qū)的熱點討論話題，而且已有種種跡象表明存在發(fā)生這種逃逸的可能性。事實上，已有事件能夠證實存在此類攻擊行為。為避免遭受此類攻擊，用戶可以下載廠商提供的補丁，但目前最安全的方法是關閉不需要的服務來抵御虛擬機逃逸及其它與虛擬機與主機之間的互動相關的攻擊。

(五) 虛擬機泛濫
虛擬機泛濫 (VM Sprawl) 是指虛擬環(huán)境中的虛擬機數(shù)量出現(xiàn)不受控制的劇烈增長。這可能會導致退役的虛擬機沒有從生產(chǎn)虛擬磁盤文件系統(tǒng)卷被刪除。隨著時間的流逝，虛擬機泛濫所帶來的風險會越來越大：處于睡眠狀態(tài)的虛擬機將丟失補丁或配置發(fā)生更多變化；如果此類虛擬機不符合要求，虛擬機重新與生產(chǎn)中的主機進行連接，則可能會影響到該虛擬機或其它虛擬機的安全運行產(chǎn)生隱患。 為解決虛擬機泛濫及隨之引起的安全問題，應設定虛擬機創(chuàng)建限制條件，部署正規(guī)流程，設置記錄功能，改變控制策略和流程，并制定用于每臺虛擬機創(chuàng)建和更換的授權、測試、通信和恢復要求和機制。

(六) 安全人員、服務器配置流程和虛擬化技術的脫節(jié)
許多系統(tǒng)管理員缺乏有效保護虛擬環(huán)境的專業(yè)知識。虛擬化模糊IT人員的角色與職責。例如，一名存儲管理員很容易在虛擬機泛濫安裝不知情的情況下導致后端存儲吞吐量出現(xiàn)瓶頸。虛擬化正在改變傳統(tǒng)的服務器配置流程，我們需要建立一個全新的框架來避免發(fā)生虛擬機泛濫問題，進而解決隱藏的安全問題。有許多早期部署的虛擬基礎設施沒有采納最佳實踐基礎設施架構的部署。我們應該避免“為虛擬化而虛擬化”的思維定式，將注意力放在“人員、流程和技術”的無縫整合上去創(chuàng)造一個迎合高效企業(yè)基礎架構平臺。高安全性的基礎架構是來自于強有力的執(zhí)法和嚴格的執(zhí)行。

戴爾為虛擬機安全保駕護航

(一) 虛擬化設計就緒
戴爾通過流程引導項目相關人員來識別要求和限制，以創(chuàng)建適合不同企業(yè)的設計?？梢岳么鳡柕膮⒖俭w系結構和現(xiàn)場經(jīng)驗?？紤]所有受到影響的最終用戶組安全策略、應用程序以及基礎架構維護計劃，避免實施過程中出現(xiàn)問題。

(二) 虛擬化運營就緒評估
通過此項服務可對當前的虛擬服務器運營流程進行評估，確定其與就緒狀態(tài)之間所存在的差異，以及提供改進建議。它涉及架構安全性選項、管理職責分離、離線虛擬機保護/更新和虛擬機審查等安全領域。

(三) 虛擬化健康檢查
使用《狀態(tài)檢查報告卡》來審計和分析當前虛擬化環(huán)境和業(yè)務目標, 將發(fā)現(xiàn)的結果和建議記錄到狀態(tài)檢查報告中, 標識最重要的問題并確定后續(xù)步驟。

戴爾安全案例：
戴爾PowerEdge系列服務器配備有嵌入式的Hypervisor，如僅占用32 MB空間的VMware ESXi Edition。這項占地空間更小的Hypervisor可以確保系統(tǒng)更安全、漏洞更少以及補丁次數(shù)更少。

另外，在戴爾的EqualLogic存儲方面，每個存儲資源（LUNS）都有它自身的ACL（access control list, 訪問控制列表），所以，即使發(fā)生了前端非法入侵，所有數(shù)據(jù)在后臺也是100%安全的。與傳統(tǒng)用于保護訪問的網(wǎng)絡分區(qū)（networking zoning）方式相比，這是一個很大的增強特性。vMotion/Live Migration將使區(qū)塊變得過大，從而使更多服務器得以訪問數(shù)據(jù)存儲，造成額外的安全漏洞。為了能自由地將虛擬機從一臺物理機轉移到另一臺上，虛擬機必須保證所有的物理服務器都包括在了FC-SAN網(wǎng)絡區(qū)塊中，否則，當虛擬機抵達新的物理機時，將不再有訪問存儲的權限。與每個FC-SAN中總是希望控制非常有限的服務器的傳統(tǒng)方法不同，在虛擬化的執(zhí)行過程中，F(xiàn)C-SAN管理員將不得不把更多服務器納入網(wǎng)絡區(qū)塊，使得出現(xiàn)錯誤的幾率大增，有時甚至會包括一些不必要的服務器，且沒有合適的LUN保護，結果造成服務器錯誤執(zhí)行并占用并不支持的存儲資源。

有人說，企業(yè)在部署并實施虛擬化戰(zhàn)略時，安全是首當其沖的最重要問題。所謂“知其然，更知其所以然”，將可能產(chǎn)生安全問題的隱患條分縷析，進而制定并貫徹適合企業(yè)自身特點的安全策略，“虛擬化”就能真正從“流行”升華為“效益”，助力企業(yè)的長期可持續(xù)發(fā)展。