虛擬化已經(jīng)成為許多組織優(yōu)化現(xiàn)有服務(wù)器與基礎(chǔ)架構(gòu)的重要工具，它有許多優(yōu)點，但是組織的網(wǎng)絡(luò)安全政策可能無法覆蓋虛擬化環(huán)境。

網(wǎng)絡(luò)安全政策是管理層制定的高層文檔，目的是將管理層的指導(dǎo)策略和觀念傳達(dá)到員工。管理和業(yè)務(wù)過程的人負(fù)責(zé)組織和設(shè)計成功的安全政策。政策要突出管理層的闡述方式。網(wǎng)絡(luò)安全政策必須闡述清楚誰負(fù)責(zé)安全性，需要在虛擬環(huán)境中保護什么，以及定義一個可接受的風(fēng)險級別。網(wǎng)絡(luò)虛擬化環(huán)境的安全政策必須解決下面這些關(guān)鍵方面：

• 授權(quán)與責(zé)任

• 復(fù)制、容錯和故障恢復(fù)

• 宿主安全性

• 共享資源

• 備份

• 應(yīng)急響應(yīng)

• 培訓(xùn)

設(shè)置訪問權(quán)限

授權(quán)關(guān)系到要確定誰負(fù)責(zé)設(shè)置宿主服務(wù)器及關(guān)聯(lián)虛擬系統(tǒng)的訪問權(quán)限。小型組織可能允許同一個人擔(dān)任宿主服務(wù)器與虛擬服務(wù)器管理員。而在大型組織中，這些角色必須劃分不同的角色，如宿主管理員、備份操作員、虛擬網(wǎng)絡(luò)管理員和最終用戶。由于虛擬化在大多數(shù)大型環(huán)境中發(fā)揮重要作用，因此必須記錄環(huán)境中大部分甚至全部的活動日志。審計日志應(yīng)該細(xì)化、保密并添加完整性控制。此外，政策還需要討論檢查和保存時間。

實現(xiàn)必要的復(fù)制、容錯和故障恢復(fù)控制，必須清晰理解服務(wù)的依賴性。例如，如果有一個虛擬服務(wù)器出錯，那么它應(yīng)該要快速復(fù)制到其他位置。但是，如果有多個宿主服務(wù)器出錯，那么應(yīng)該如何規(guī)劃這些系統(tǒng)及其虛擬化客戶端的復(fù)制呢?虛擬化的主要優(yōu)勢是高可用性;所以網(wǎng)絡(luò)安全政策應(yīng)該明確規(guī)定的VMware、Hyper-V和XenServer的高可用性選項。如果政策包含這個方面，那么您可以部署一個全冗余設(shè)備，在發(fā)生事故時它的配置必須能夠接管處理負(fù)載。

宿主安全性是一個重要部分

宿主安全性至關(guān)重要。物理系統(tǒng)與虛擬系統(tǒng)之間有一個明顯的區(qū)別：虛擬系統(tǒng)實際上是一組文件，它們可能會被盜取、復(fù)制和篡改。而物理系統(tǒng)則完全不同。因為攻擊者可能復(fù)制這些文件，所以必須仔細(xì)檢查訪問控制。此外，政策還必須防止惡意軟件從一個虛擬系統(tǒng)傳播到另一個虛擬系統(tǒng)。

共享資源是另一個重要問題。一個虛擬系統(tǒng)用戶可能會訪問物理系統(tǒng)的RAM、CPU和(甚至 )網(wǎng)絡(luò)接口卡(NIC)。這樣有可能從共享資源和網(wǎng)絡(luò)分流器泄漏數(shù)據(jù)，也可能使用網(wǎng)絡(luò)嗅探工具攔截通過物理NIC的流量。

同時，備份可能也是另一個需要特別注意的問題，雖然您已經(jīng)備份了整個物理系統(tǒng)。由于虛擬化總是會通過備份宿主的硬盤實現(xiàn)大規(guī)模共享存儲環(huán)境，所以現(xiàn)在數(shù)據(jù)會成為一個持續(xù)存儲的文件。如果這個文件中一部分被破壞，那么就可能丟失所有虛擬系統(tǒng)。每一個虛擬系統(tǒng)可能都需要使用原生虛擬化復(fù)制技術(shù)進(jìn)行備份。至少，網(wǎng)絡(luò)安全政策必須有這方面的規(guī)定。

準(zhǔn)備應(yīng)急響應(yīng)計劃

雖然我們都希望永遠(yuǎn)不出現(xiàn)問題，但是現(xiàn)實中總會出現(xiàn)一些意外情況。在意外出現(xiàn)之前，一定要先準(zhǔn)備好應(yīng)急響應(yīng)計劃，處理任何可能出現(xiàn)的問題。這個計劃必須覆蓋虛擬環(huán)境。假設(shè)有一個這樣的場景：FBI因為某個犯罪案件的原因封禁一個虛擬系統(tǒng)。如果相關(guān)部門帶走了整個硬盤，那么共享磁盤中其他系統(tǒng)應(yīng)該怎么處理?

千萬不要忽視培訓(xùn)。您的政策必須規(guī)定員工可以做和不可以做的事情。此外，還要通過培訓(xùn)執(zhí)行良好的安全實踐方法。一個培訓(xùn)不當(dāng)?shù)膯T可能會無意識地將密碼泄漏給黑客。如果不經(jīng)過正確培訓(xùn)，那么員工通常不知道他們的操作或活動會對組織安全造成什么樣的影響。安全鏈條中最薄弱的一個環(huán)節(jié)就是公司的員工。

企業(yè)的虛擬化環(huán)境網(wǎng)絡(luò)安全政策必須考慮虛擬化可能對工作場所帶來的變化。虛擬網(wǎng)絡(luò)安全政策是很有必要的，因為現(xiàn)有的安全政策還遠(yuǎn)遠(yuǎn)不夠，它們中有一些是在非虛擬化環(huán)境中制定的。

現(xiàn)代虛擬化政策必須包括技術(shù)與人員。政策的技術(shù)方面必須解決虛擬化環(huán)境的許多特殊性，并且加入審計、備份和宿主安全性。同時，政策的人員方面不僅要加入安全實踐方法培訓(xùn)，也要讓員工理解它們的行為將如何影響組織的安全性。