虛擬化環(huán)境可能更便宜、擁有更低的碳排放量、快速創(chuàng)建“虛擬機(jī)”，但是沒(méi)有實(shí)實(shí)在在的邊緣，因而很難確保其安全。

　　Softtek是拉美地區(qū)主要的IT服務(wù)提供商之一，也是全球近岸行業(yè)的開(kāi)創(chuàng)者。該公司的項(xiàng)目經(jīng)理兼業(yè)務(wù)主管Leo Navarro說(shuō)：“在過(guò)去的幾個(gè)月，我們與《財(cái)富》50強(qiáng)企業(yè)的首席信息安全官進(jìn)行了多次交談;我們注意到，他們對(duì)于虛擬化環(huán)境安全的工具需求有所增加?，F(xiàn)在有好多企業(yè)已經(jīng)部署了服務(wù)器虛擬化和桌面虛擬化的解決方案。不過(guò)，一旦這么做，它們就得為虛擬化環(huán)境重新考慮整體安全策略。”

　　Navarro預(yù)測(cè)，2012年會(huì)出現(xiàn)這一幕：許多公司的資金將投入到簡(jiǎn)化更新過(guò)程的企業(yè)級(jí)反病毒套件、監(jiān)控?cái)?shù)據(jù)流動(dòng)的數(shù)據(jù)丟失預(yù)防(DLP)工具、保護(hù)對(duì)虛擬服務(wù)器和虛擬桌面訪問(wèn)的雙因子驗(yàn)證機(jī)制、加快用戶資源配置過(guò)程的工具以及數(shù)據(jù)加密工具。

　　跨國(guó)IT公司Unisys的TCIS產(chǎn)品與技術(shù)事業(yè)部副總裁Rod Sapp說(shuō)：“許多分析師表示，安全是用戶采用云計(jì)算的第一大障礙，安全問(wèn)題削弱了云計(jì)算的優(yōu)點(diǎn)。在共享基礎(chǔ)架構(gòu)的多層環(huán)境中，許多公司經(jīng)常在一個(gè)角落建立私有云，那樣它們不會(huì)面臨風(fēng)險(xiǎn)。但迫使云計(jì)算項(xiàng)目后退到數(shù)據(jù)中心某一角落帶來(lái)了問(wèn)題，那就是你削弱了云計(jì)算的根本優(yōu)點(diǎn)，即提高基礎(chǔ)架構(gòu)的利用率和成本效益。”

　　評(píng)估需要做什么工作

　　GFI軟件公司的安全研究經(jīng)理Emmanuel Carabott說(shuō)：“虛擬化環(huán)境中的安全可以分為兩大類(lèi)：訪客操作系統(tǒng)的安全，這需要采取與非虛擬機(jī)環(huán)境同樣的安全方法;另一個(gè)是虛擬環(huán)境基礎(chǔ)架構(gòu)的安全。虛擬化解決方案包含幾款可以管理主機(jī)和訪客的管理工具;針對(duì)這每一種管理工具，都需要考慮特定的安全問(wèn)題。”

　　公司首先得明確自己面臨的風(fēng)險(xiǎn)有多大。

　　Carabott補(bǔ)充說(shuō)：“從虛擬化的角度來(lái)看，幾個(gè)主要的安全問(wèn)題是，個(gè)人在未經(jīng)授權(quán)的情況下訪問(wèn)虛擬環(huán)境管理工具，劫持虛擬機(jī)及/或隨意進(jìn)出虛擬機(jī)，以及破壞企業(yè)中所用的變更管理系統(tǒng)。這每一個(gè)安全問(wèn)題都需要從防火墻到安全掃描器的專(zhuān)業(yè)解決方案。”

　　企業(yè)引入了削減成本的措施，加上旨在采用更靈活的工作策略，這就更需要確保虛擬化環(huán)境的安全。Navarro說(shuō)：“更多的公司可能會(huì)考慮實(shí)施‘帶來(lái)自己的設(shè)備’(BYOD)計(jì)劃，那樣他們的員工可以自行選擇工作時(shí)所用的設(shè)備。這些計(jì)劃要求公司支持各種設(shè)備正常運(yùn)營(yíng)，為此先要確保自己的虛擬環(huán)境安全，然后要將核心應(yīng)用程序擴(kuò)展到移動(dòng)設(shè)備上。”

　　虛擬機(jī)帶來(lái)的挑戰(zhàn)

　　無(wú)論貴公司是不是允許員工將自己的設(shè)備連接到企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)專(zhuān)業(yè)人員都必須提防確保虛擬環(huán)境安全所帶來(lái)的挑戰(zhàn)。Carabott說(shuō)：“從理論上來(lái)說(shuō)，為虛擬化環(huán)境確保安全與為物理環(huán)境確保安全一樣輕松。不過(guò)實(shí)際上，情況并非總是如此，因?yàn)樘摂M化環(huán)境很容易創(chuàng)建;員工在自己的機(jī)器上建立虛擬化環(huán)境，而不是要求額外的物理機(jī)或者通過(guò)適當(dāng)?shù)那纴?lái)申請(qǐng)，這種事并非前所未聞。”

　　這讓網(wǎng)絡(luò)管理員們頗有頭痛。要是虛擬環(huán)境沒(méi)有集中控制起來(lái)，那么連最基本的安全措施落實(shí)到位都無(wú)法保證。

　　Carabott補(bǔ)充說(shuō)：“如果某個(gè)員工不關(guān)注安全，以為即使虛擬機(jī)受到了危及或出現(xiàn)了崩潰，也只要恢復(fù)干凈的副本就行，情況就會(huì)變得更糟糕。遺憾的是，這種想法是有問(wèn)題的，因?yàn)檫@個(gè)員工沒(méi)有認(rèn)識(shí)到，如果虛擬機(jī)受到了危及，它就有可能成為不法分子手里的一塊跳板，得以更深入地攻擊企業(yè)的基礎(chǔ)架構(gòu)。”

　　安全實(shí)踐

　　盡管面臨挑戰(zhàn)，但確保虛擬化環(huán)境安全是可以做到的。

　　Sapp說(shuō)：“在優(yōu)利系統(tǒng)公司，我們使用Unisys保密解決方案，在安全的多租戶環(huán)境中，對(duì)從端點(diǎn)到數(shù)據(jù)中心的信息進(jìn)行加密和裂位(bit-splitting)。這就排除了別人訪問(wèn)你的基礎(chǔ)架構(gòu)和數(shù)據(jù)這種可能性。”

　　優(yōu)利系統(tǒng)公司在政府行業(yè)證實(shí)了這項(xiàng)技術(shù)后，剛開(kāi)始投入到商業(yè)行業(yè)。Sapp認(rèn)為，現(xiàn)在公司企業(yè)可以采取更多的措施來(lái)確保虛擬化環(huán)境安全、對(duì)用戶友好。“我們正在將很高的安全級(jí)別與針對(duì)虛擬化環(huán)境和云計(jì)算的資源配置和自動(dòng)化工具集成起來(lái)。”

　　不管確保虛擬化環(huán)境安全似乎有多困難，但是最糟糕的做法是什么都不做。每個(gè)環(huán)境都需要加強(qiáng)安全，無(wú)論它是不是虛擬化環(huán)境。說(shuō)白了，關(guān)鍵就是為你網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)尋求合適的安全級(jí)別以及合適的工具。

　　原文鏈接：http://www.esecurityplanet.com/network-security/pulling-your-private-cloud-out-of-the-shadows.html