據市場研究公司ForresterResearch稱，到2009年，全部企業(yè)服務器資源將有42%實施虛擬化。這里的虛擬化概念包含許多內容，如服務器虛擬化、操作系統虛擬化、內核虛擬化和虛擬化平臺，如VMwareESX和微軟的Hyper-V.這些技術首先都是以虛擬化的形式進入數據中心的。這些技術將越來越便宜和容易使用，使它們成為數據中心的第一批虛擬實驗品的誘人的候選產品。整合、節(jié)省成本、動態(tài)配置和動態(tài)遷移等因素正在推動大多數IT部門試驗某種形式的虛擬平臺，推動虛擬系統在數據中心的應用。大規(guī)?；A設施系統的出現已經使虛擬平臺成為數據中心中全面的面向公眾的應用基礎設施。

虛擬平臺提供商這段時間以來一直在用自己的平臺解決內部的安全問題，同時讓互聯網安全中心等外部機構使用他們的虛擬安全基準測試項目。這些項目的目標是解決平臺安全問題，也就是解決虛擬機基準水平的運行環(huán)境問題。包括封鎖外部遠程登錄或者保證只有授權管理員才能使用等一些要求的安全規(guī)定可能會重新設置軟件交換機。從IT的觀點看，這相當于鎖定微軟的Windows2003網絡服務器;所有的安全措施都適用于這個平臺水平，無論它是EXS那樣的虛擬平臺，還是像在裸機上運行的Windows2003Server那樣的物理服務器。

然而，虛擬平臺增加了額外的一層安全要求?，F有的針對Windows2003或者Linux特別發(fā)布版等軟件的安全威脅在這些系統移植到虛擬機的時候仍然存在。向數據中心的虛擬機遷移需要重新設計安全計劃和架構，可能引起的潛在問題包括：事件反應、虛擬調試虛擬操作系統和虛擬軟交換機、熟悉隔離區(qū)和設計。在向虛擬機遷移的安全計劃中要考慮上述所有的因素。

為了解決把虛擬化引進到數據中心所產生的安全問題，出現了一個更大的技術行業(yè)：虛擬化安全(virtsec)。IT面臨的挑戰(zhàn)之一是理解“虛擬化安全是什么?我如何應用虛擬化安全?”

三種虛擬化安全類型

1.當引進新的虛擬化技術時，數據中心增加了新的安全風險，例如，在一個管理管理程序中運行多個虛擬機的風險。

2.虛擬機鏡像和客戶操作系統的安全。

3.物理安全設備的虛擬實例，例如，從一個物理防火墻和入侵防御系統進入運行同樣的服務的虛擬鏡像。

虛擬安全市場正在迅速解決與客戶虛擬機有關的安全問題，例如，補丁管理和檢查同一臺主機和軟交換機上的虛擬機之間的網絡通訊，直接在虛擬客戶機上應用這些安全技術。事實上，虛擬化安全實施最大的推動因素之一是推出了在虛擬平臺基礎設施上運行的殺毒和防火墻虛擬機。然而，與虛擬平臺本身有關的風險仍然是不清楚的，因為目前對于內部管理程序和平臺安全還沒有大量的解決方案。雖然從戰(zhàn)術方面看管理程序是數據中心中最不容易被利用的部分，但是，從戰(zhàn)略上看，管理程序是虛擬數據中心最誘人的攻擊目標，因為攻破這一點就可以訪問數據中心的多個虛擬系統(如果不是全部的話)。

虛擬化安全策略

管理虛擬安全問題：現在開始規(guī)劃

企業(yè)IT部門現在應該做的事情是保護自己不受當前和未來的虛擬化安全威脅嗎?首先，也是最重要的，企業(yè)應該分析自己使用的虛擬平臺的具體風險。重要的是要知道這個架構的變化如何影響到現有的安全管理系統。企業(yè)IT部門在向虛擬機遷移或者應用虛擬機之前還應該制定戰(zhàn)術的和戰(zhàn)略的安全計劃。這些安全計劃是通過對現有的虛擬安全進行綜合分析實現的，同時還要計劃應付虛擬平臺的未來的安全威脅。規(guī)劃以及當前架構和安全管理中的小的變化有助于防御未來的管理程序和平臺級的虛擬化攻擊。#p#

總的來說，作為整個虛擬化安全架構的一部分，IT部門應該把重點放在三個虛擬化方面：

1.按照位置分開虛擬機

2.按照服務類型分開虛擬機

3.在整個虛擬機生命周期內實施有預見性的安全管理

這三個方面將幫助IT部門保護其虛擬基礎設施抵御當前的威脅，并且?guī)椭鶬T部門緩解未來的攻擊威脅。

按照位置分開虛擬機

虛擬安全領域經常討論的問題之一是在隔離區(qū)使用虛擬平臺。經?？吹揭粋€物理虛擬機主機在隔離區(qū)運行公共的和專有的虛擬機，這兩個安全領域的區(qū)分是在軟交換機上實施的。在實踐上，這種架構沒有物理環(huán)境的架構那樣安全，因為這種架構的虛擬機和物理機器共享運行環(huán)境。在物理領域，公共機器應該插入同一臺交換機，虛擬局域網應該與專用機器分開，他們的計算資源(CPU、內存、總線和網絡)是不同的。采用虛擬平臺，這個計算的區(qū)分就消失了。一臺主機上所有的虛擬機將共享CPU、內存、總線和網絡資源。從理論上說，這個共享的虛擬架構提供了從公共網絡向專有網絡機器實施直接攻擊的線路。這相當于把你的全部隔離區(qū)的雞蛋都放在一個籃子里。虛擬平臺上的一切都是由相同的軟件共享和管理的?？刂铺摂M局域網部分的軟件也控制這個主機的IP堆棧。那個主機上的IP堆棧中的安全漏洞會使整個客戶網絡處于危險之中。

消除共享的隔離區(qū)資源的安全威脅的解決方案是在物理上把公共的虛擬機與專用的虛擬機分開，在不同的主機上運行和管理這些虛擬機。所有公開的虛擬機都應該放置在公開的主機服務器上，用電纜線連接到物理地分開的網絡。對于使用VMware公司的vCenter技術大規(guī)模實施虛擬化的企業(yè)來說，把公共資源與專用資源集群(許多組主機根據資源組成一個單一的管理池)分開也是很重要的。例如，VMware公司的DRS軟件能夠在一個集群中的主機之間動態(tài)遷移虛擬機。如果公共的和專有的主機在一個集群中是共享的，一個DRS事件就可以根據資源的需求把一個專用的虛擬機遷移到公共主機服務器，從而取消了任何資源區(qū)分的好處。

根據服務類型分開虛擬機

一旦根據位置分開虛擬資源之后，下一步就是根據任務或者服務分開虛擬機。換句話說，就是讓全部的網絡服務器虛擬機在一個資源池和集群中，讓所有的應用虛擬機在另一個資源池或者集群中。同在隔離區(qū)內分開位置一樣，這個架構旨在限制那些與攻破虛擬平臺有關的風險。如果一個攻擊者能夠攻破一個客戶虛擬機，在同一個物理主機上運行的其它客戶機預計也會被攻破，因為它們共享同樣的運行環(huán)境。如果在一個主機上運行的所有的虛擬機都是相同的并且都執(zhí)行同樣的任務，而且整個系統沒有完全暴露，攻擊者不必利用10個虛擬機安全漏洞，能夠利用一個虛擬機的漏洞就夠了。

另一方面，如果一個主機服務器正在所有的應用層運行(這些應用層包括網絡服務器、應用程序服務器和數據庫服務器)，攻擊者通過利用前端網路瀏覽器漏洞能夠獲得后端數據庫的訪問權限?，F在，數據庫將有更大的風險，因為它與網絡服務器在同一臺主機上運行，共享同樣的資源。根據服務分開虛擬機有助于緩解這個風險，方法是隔離虛擬應用程序并且讓虛擬機保持與具體的硬件資源和集群的聯系。利用一種類型的虛擬機任務的安全漏洞不會直接使其它虛擬機任務面臨風險。#p#

整個虛擬機生命周期內有預見性的安全管理

虛擬機和平臺的主要好處之一是能夠方便地創(chuàng)建、移動和撤銷虛擬機。當需要新的服務的時候，可以創(chuàng)建虛擬機或者提取存檔的虛擬機，然后根據需要進行設置。隨著需求的增長，人們可以克隆虛擬機或者動態(tài)地為虛擬機分配額外的資源。隨著需求的減少，人們可以撤銷這些虛擬機的設置，使這些虛擬機不再消耗資源。虛擬機的創(chuàng)建、移動和銷毀過程構成了虛擬機的生命周期。

虛擬機在生命周期的每一個步都容易受到安全威脅。當從頭開始創(chuàng)建新的虛擬機的時候，重要的是要保證虛擬機使用最新的安全補丁和軟件。當克隆虛擬機鏡像和移動虛擬機的時候，重要的是保持每一個虛擬機的“穩(wěn)定狀態(tài)”,以便了解這些虛擬機是否需使用了最新的補丁或者是否需要使用補丁。隨著時間的推移，很容易重復地克隆一個使用了補丁的“黃金”鏡像，最終使各種虛擬機保持各種補丁水平。由于鏡像存儲很長時間沒有使用，這些虛擬機可能會過時，需要在使用的間歇時間里離線使用補丁，以保證它們在下一次啟動的時候盡可能是安全的。同遷移的虛擬機一樣，資產管理對于銷毀虛擬機和防止閑置的虛擬機在數據中心蔓延成為未知威脅的攻擊目標是非常重要的。

結論

關于虛擬平臺要記住的最重要的事實是雖然虛擬平臺帶來了額外的一層管理和安全風險，但是，它們的風險水平是我們每一天都要處理的事情。如果在部署虛擬化或者進行虛擬化移植之前、期間或者之后考慮到這些虛擬化技術因素，就有可能成功地實施虛擬基礎設施遷移。提前進行規(guī)劃，把數據中心最佳安全做法應用到虛擬平臺并且從第一天開始就管理安全問題，企業(yè)就能夠成功地部署虛擬化，虛擬化環(huán)境就能夠比物理環(huán)境更安全。

物理數據中心的最佳安全做法同樣適用于虛擬數據中心：按照軟交換機上的虛擬局域網對網絡分段;根據適當的身份識別和授權對網段進行隔離的管理;專家級支持排除故障;在虛擬平臺和網絡級診斷故障。雖然虛擬安全市場最終將繁榮起來，但是，所有這些虛擬安全工具都要按照嚴格的安全做法和實施標準重新打造。雖然情況發(fā)生了變化，但是，在虛擬數據中心實施安全措施與物理數據中心成功地實施安全措施的原則是相同的：擁有IT環(huán)境知識;熟悉風險管理;在部署之前、期間和之后有適應性的規(guī)劃。