虛擬化和移動(dòng)技術(shù)安全策略的規(guī)劃，即使對(duì)有經(jīng)驗(yàn)的IT人員也是一種挑戰(zhàn)。隨著二者快速成為主流，安全挑戰(zhàn)和難題開始普遍存在。同時(shí)移動(dòng)設(shè)備也為虛擬化安全帶來(lái)全新挑戰(zhàn)。

　　企業(yè)已經(jīng)發(fā)現(xiàn)，在管理實(shí)踐方面略加改進(jìn)就可以彌補(bǔ)安全差距。在虛擬設(shè)施之下部署全新的復(fù)雜基礎(chǔ)架構(gòu)和專屬應(yīng)用，通?？梢栽诎踩矫鎺?lái)明顯改善。

　　根據(jù)Voodoo Security公司的創(chuàng)建者和首席顧問Dave Shackleford的說(shuō)法，虛擬化環(huán)境有多種安全方式。管理員可以選擇部署基本的補(bǔ)丁和配置管理實(shí)踐，或更為復(fù)雜的虛擬化防火墻和入侵檢測(cè)應(yīng)用。

　　找到適合你的虛擬化安全方法

　　作為云計(jì)算安全聯(lián)盟( Cloud Security Alliance)在亞特蘭大地區(qū)的領(lǐng)導(dǎo)者，Shackleford指出虛擬環(huán)境中的安全問題需要從多個(gè)點(diǎn)考慮：虛機(jī)、虛擬網(wǎng)絡(luò)、hypervisor和管理系統(tǒng)等，而每個(gè)點(diǎn)所采用的安全策略都要分開考慮。

　　“虛機(jī)就是由代表了某個(gè)物理機(jī)的一組文件組成，”Shackleford說(shuō)，而且很多企業(yè)開始認(rèn)識(shí)到虛機(jī)存在相當(dāng)大的安全風(fēng)險(xiǎn)，因?yàn)閿?shù)據(jù)中心的服務(wù)器不再是位于機(jī)房的機(jī)架中，而是整個(gè)系統(tǒng)都運(yùn)行于SAN(storage area network)存儲(chǔ)系統(tǒng)之上。

　　“企業(yè)逐步意識(shí)到對(duì)SAN安全方面做得不多，”他說(shuō)。例如，虛機(jī)在做快照或備份的時(shí)候，有時(shí)在活動(dòng)內(nèi)存中存在一些單獨(dú)的文件。假設(shè)當(dāng)信用卡正在交易時(shí)可能會(huì)導(dǎo)致這一敏感信息駐留在內(nèi)存文件中，這就為襲擊者“可以訪問該文件時(shí)把數(shù)字提取出來(lái)”提供了可能。

　　對(duì)應(yīng)的，一些企業(yè)開始考慮部署加密技術(shù)—專用于虛機(jī)或者SAN和存儲(chǔ)資源的。

　　已有大量的腳本和商業(yè)化技術(shù)用于審計(jì)和普通的配置管理，例如在VMware或Center for Internet Security強(qiáng)化指南中描述的內(nèi)容。還有商業(yè)化的工具針對(duì)集中化的配置策略及管理員角色用戶和組管理等，Shackleford提到。多數(shù)的主流安全和網(wǎng)絡(luò)供應(yīng)商已經(jīng)創(chuàng)建或修改虛擬網(wǎng)絡(luò)安全產(chǎn)品，使其可以分析進(jìn)出虛擬環(huán)境的流量，包括虛擬架構(gòu)內(nèi)部虛機(jī)和應(yīng)用之間產(chǎn)生的流量，他說(shuō)道。

　　協(xié)調(diào)IT人員構(gòu)建更好的安全措施

　　在管理方面也有很多變化。事實(shí)上，安全和管理人員也會(huì)從虛擬化中獲益，因?yàn)樗鼊?chuàng)建了一個(gè)可以使用虛擬模板的集中環(huán)境，而且附加了來(lái)自VMware或其它平臺(tái)供應(yīng)商的工具來(lái)協(xié)助簡(jiǎn)化補(bǔ)丁管理。

　　“這是個(gè)很大的改善，因?yàn)閷?duì)于大型的、分布式的環(huán)境而言，這通常是個(gè)大挑戰(zhàn)，”Shackleford提到了VMware最近收購(gòu)的Shavlik Technologies，該公司擁有一個(gè)復(fù)雜的補(bǔ)丁管理工具，這是一種趨勢(shì)的開端。它可以實(shí)現(xiàn)從一個(gè)統(tǒng)一界面完成到所有虛擬組件和虛機(jī)的升級(jí)。

　　另一方面，在虛擬環(huán)境中反惡意和反病毒軟件也是管理員面臨的挑戰(zhàn)之一。尤其是對(duì)采用共享資源的虛機(jī)而言。“如果虛機(jī)都運(yùn)行在同一個(gè)hypervisor上，而且共享hypervisor集群、一組CPU和內(nèi)存資源，那么傳統(tǒng)的基于代理的反惡意解決方案不能很好地工作，因?yàn)樗鼈兌紝儆谫Y源密集型需求的，” Shackleford說(shuō)。

　　盡管如此，還是有些廠商走在了前沿。McAfee和 Trend Micro現(xiàn)在已經(jīng)有了對(duì)多臺(tái)虛機(jī)集中進(jìn)行反惡意進(jìn)程管理的方法。雖然這些方法還不成熟，但是“這些功能已經(jīng)開始在成熟曲線上爬升”。

　　最后，對(duì)于使用了虛擬化管理組件的公司而言，這些依然“可能是最不安全的——阿喀琉斯之踵”Shackleford說(shuō)道。虛擬化組應(yīng)該集中關(guān)注這些系統(tǒng)，因?yàn)橐坏┯腥丝刂屏怂鼈?，游戲就結(jié)束了。缺乏認(rèn)證管理、補(bǔ)丁管理和配置實(shí)踐將使這些組件易受攻擊?；蛟S正確地鎖定系統(tǒng)(通常是借助密碼)完善健全的認(rèn)證管理控制，將極大地改善安全性。