隨著虛擬化不斷盛行起來，中小企業(yè)（SMB）逐漸開始加大對虛擬化的投入。由于中小企業(yè)整體實(shí)力較為薄弱，資金少，IT基礎(chǔ)設(shè)施不夠健全，因此借用虛擬化技術(shù)來幫助企業(yè)減少開支、提高效率、增強(qiáng)競爭力，就顯得理所當(dāng)然?？珊芏嗳藚s只會停留在虛擬化技術(shù)一個(gè)層面，并沒有全面考慮到虛擬化技術(shù)所應(yīng)重視的安全問題。
 
　　正所謂“開開心心上班，平平安安回家”，如果僅僅重視虛擬化技術(shù)在中小企業(yè)中的具體應(yīng)用，而完全忽視了虛擬化應(yīng)用過程中所帶來的安全問題，則多少有些“五音不全”，畢竟“皮之不存毛將焉附”。
 
　　在說明虛擬化安全問題之前，我們先來了解當(dāng)前虛擬化和虛擬化安全的概括。根據(jù)調(diào)查發(fā)現(xiàn)，虛擬化在大部分企業(yè)中并不是IT生產(chǎn)環(huán)境中的標(biāo)準(zhǔn)部署（如下圖）。只有34.2%的企業(yè)對超過50%的IT系統(tǒng)進(jìn)行了服務(wù)器部署，而部署比例達(dá)到或者超過70%的企業(yè)只有11.4%。 

 
企業(yè)虛擬化水平

而計(jì)劃2012年底前實(shí)施虛擬化的應(yīng)用中，絕大部分都把精力放在服務(wù)器虛擬化和存儲虛擬化方面（如下圖）。在2012年底，將有50.8%的企業(yè)會實(shí)現(xiàn)超過50%的服務(wù)器虛擬化部署，而存儲虛擬化部署的企業(yè)用戶將達(dá)33.3%，并且其虛擬化程度也將超過50%。 

 
截止2012年底不同署虛擬化應(yīng)用部署情形　　

而在關(guān)于虛擬化安全方面的調(diào)查發(fā)現(xiàn)，有19.3%的企業(yè)認(rèn)為經(jīng)驗(yàn)和技術(shù)的不足會影響虛擬化安全的規(guī)劃和實(shí)施。而在具體的影響虛擬化安全實(shí)現(xiàn)的因素當(dāng)中，預(yù)算和前期投入也是一個(gè)十分重要的因素，另外虛擬化環(huán)境和平臺的安全管理的復(fù)雜性，也是一個(gè)突出的問題。當(dāng)然，這一點(diǎn)也不奇怪，因?yàn)榘踩珕栴}本身是需要前期投入的，因此在部署虛擬化的時(shí)候往往容易被企業(yè)用戶忽視。
 

 
制約虛擬化安全的因素 
　　

其實(shí)復(fù)雜性問題歸結(jié)為兩點(diǎn)：首先是整體上的復(fù)雜性——相比較傳統(tǒng)的物理環(huán)境，虛擬環(huán)境下管理安全性會變得更為復(fù)雜。因?yàn)樘摂M化會促使更多的系統(tǒng)出現(xiàn)，應(yīng)用程序和數(shù)據(jù)會在不同的主機(jī)系統(tǒng)之間進(jìn)行遷移和蔓延。其次是跨虛擬平臺和環(huán)境（不同服務(wù)商提供）的安全管理復(fù)雜性。異構(gòu)虛擬化環(huán)境下安全管理的支持（根據(jù)現(xiàn)實(shí)中虛擬化的地位問題和結(jié)果）是成功部署的關(guān)鍵所在。

#p# 大部分企業(yè)都在尋找某種整合的解決方案，既幫助管理物理環(huán)境，又能幫助管理虛擬環(huán)境。有數(shù)據(jù)顯示，83.8%的企業(yè)偏向于選擇既能滿足物理環(huán)境又能滿足虛擬環(huán)境的管理解決方案。這也就意味著，不存在專為“虛擬化安全”的獨(dú)立市場。不過，那些傳統(tǒng)安全廠商可以通過現(xiàn)有IT安 全管理解決方案增加附加值來實(shí)現(xiàn)虛擬化安全。
 

 
中小企業(yè)對虛擬化安全方案的偏好選擇

另外，有關(guān)虛擬化安全方面的挑戰(zhàn)和問題的重要性，也備受人們的關(guān)注。其中最受人們關(guān)注的是“數(shù)據(jù)蔓延”，比如在沒有得到有效控制的情 形下數(shù)據(jù)遷移至不夠安全的環(huán)境中的風(fēng)險(xiǎn)。有調(diào)查數(shù)據(jù)顯示，41.7%的企業(yè)用戶認(rèn)為這一點(diǎn)十分重要。緊接著數(shù)據(jù)蔓延的就是完善法規(guī)和審計(jì)規(guī)范。
 

 
虛擬化安全帶來的挑戰(zhàn)及其重要性

 另外，34%的用戶認(rèn)為IT資產(chǎn)實(shí)現(xiàn)虛擬化后的業(yè)務(wù)風(fēng)險(xiǎn)評估也非常重要，持有“非常重要”和“重要”觀點(diǎn)的用戶總共大概有78.8%的企業(yè)。這也就意味著，業(yè)務(wù)風(fēng)險(xiǎn)和IT風(fēng)險(xiǎn)之間有著緊密的聯(lián)系。
 
　　IT基礎(chǔ)設(shè)施的根本性轉(zhuǎn)變，比如基礎(chǔ)設(shè)施實(shí)施虛擬化的遷移，可能會對業(yè)務(wù)的發(fā)展帶來積極或者消極的影響。因此，了解業(yè)務(wù)影響特別是潛在風(fēng)險(xiǎn)——比如此前所提的數(shù)據(jù)蔓延，就會顯得十分重要。
 
　　虛擬化安全并不是一個(gè)孤立的技術(shù)問題，而是需要根據(jù)業(yè)務(wù)需求和風(fēng)險(xiǎn)情況，與現(xiàn)有的IT安全舉措進(jìn)行集成。因此，中小企業(yè)需要做的是在已有的基礎(chǔ)上進(jìn)行擴(kuò)充，而不是專門為虛擬化環(huán)境而重塑安全。然而，未來更好地管理分布式環(huán)境和減輕數(shù)據(jù)和服務(wù)器蔓延的風(fēng)險(xiǎn)，需要有某些特定功能來支持。
 

 
虛擬化環(huán)境下特權(quán)用戶帶來的風(fēng)險(xiǎn)

上圖中，展示了虛擬化環(huán)境下人們所關(guān)注的第一組問題——特別是特權(quán)用戶帶來的風(fēng)險(xiǎn)問題。特權(quán)用戶指權(quán)限獲得提升的用戶，如管理員、操作員以及技術(shù)用戶和其他類型的用戶。根據(jù)調(diào)查發(fā)現(xiàn)，企業(yè)對風(fēng)險(xiǎn)的看法與對此采取的措施存在顯著差異。幾乎有四分之三（73.2%）的企業(yè)關(guān)注hypervisor提供的優(yōu)先特權(quán)以及由此帶來的潛在濫用問題。
 
　　Hypervisor的管理帳戶擁有廣泛的特權(quán)，由此，它會使得虛擬化環(huán)境出現(xiàn)一個(gè)新的攻擊窗口，并可以通過特權(quán)用戶的濫用行為將該窗口進(jìn)行打開。在虛擬化環(huán)境下，這與權(quán)利的濫用有著十分緊密的關(guān)系——在某些情況下，甚至很難跟蹤到這些特權(quán)用戶的濫用行為。因此，引入PXM （Privileged Account/Identity/User Management，特權(quán)賬戶/身份/用戶管理），在虛擬化和云環(huán)境中顯得更加必不可少，以滿足法規(guī)遵從要求，并減輕這些環(huán)境風(fēng)險(xiǎn)。

#p# 虛擬化安全屬于IT戰(zhàn)略中的一個(gè)組成部分，它其實(shí)并不是安全解決方案，只是對虛擬化環(huán)境提出了更高更多的管理要求。下面，具體介紹如何實(shí)現(xiàn)虛擬化安全：
 
　　隔離平臺
 
　　虛擬化可以打通一切硬件資源的條塊分割實(shí)現(xiàn)互通有無，對于虛擬機(jī)來說，它們不能進(jìn)行相互通信（除非通過網(wǎng)絡(luò)），而且資源會受到嚴(yán)格控制。對于虛擬交換機(jī)來說，不存在網(wǎng)絡(luò)共享的機(jī)制，但完全具備支持VLAN layer-2交換機(jī)的功能。
 

 
隔離平臺

 隔離平臺的主要目的在于，一旦發(fā)生緊急情況，可以最大程度地避免整個(gè)虛擬化環(huán)境系統(tǒng)的破壞，另外，也有助于虛擬化安全管理。在此基礎(chǔ)上，使每一臺虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。
 
　　保護(hù)虛擬機(jī)
 
　　中小企業(yè)虛擬化安全，更多的是需要考慮到虛擬機(jī)的安全。用戶需要確保在不同虛擬機(jī)之間，用防火墻進(jìn)行隔離和保護(hù)，而且要制定統(tǒng)一規(guī)范 的安全政策，未經(jīng)授權(quán)或者未知來源都一律禁止訪問。在單個(gè)虛擬機(jī)上（包括物理主機(jī)），則需要安裝防病毒工具并保持更新。而對于此前提到過的特權(quán)用戶問題，特別需要注重管理。在利用特權(quán)用戶管理虛擬機(jī)的時(shí)候，特別要重視虛擬機(jī)端口和遠(yuǎn)程訪問，禁用不使用的網(wǎng)絡(luò)端口，嚴(yán)格限制遠(yuǎn)程訪問。
 
　　尋找專業(yè)技術(shù)顧問
 
　　中小企業(yè)部署虛擬化，本身就是一個(gè)艱巨浩大的工程，對于這些實(shí)力較為弱小的企業(yè)用戶來說，依靠自身力量往往很難對虛擬化環(huán)境進(jìn)行充分保護(hù)。在這樣的情況下，中小企業(yè)可以考慮采用外包的形式，將虛擬化和虛擬化安全統(tǒng)一打包給專業(yè)的第三方進(jìn)行統(tǒng)一管理。
 
　　另外，也需要加強(qiáng)企業(yè)內(nèi)部IT管理員的技術(shù)培訓(xùn)和規(guī)范操作，強(qiáng)化風(fēng)險(xiǎn)意識和安全觀念，在考慮到虛擬化安全的同時(shí)，也不能忽視了物理主機(jī)和網(wǎng)絡(luò)的安全防護(hù)工作。

【編輯推薦】

1. 調(diào)查顯示：Unix仍舊是數(shù)據(jù)中心的寵兒
2. 25倍性價(jià)比優(yōu)勢 中國金融用戶 “淺嘗開放”
3. 思考：中小企業(yè)到底需要什么樣的虛擬化？
4. 虛擬化只是個(gè)開始 如何提高服務(wù)器利用率才是王道