目前數據中心中普遍采用虛擬化技術(shù)，而虛擬平臺增加了額外的一層安全要求。當引進(jìn)新的虛擬化技術(shù)時(shí)，數據中心增加了新的安全風(fēng)險，例如，在一個(gè)管理管理程序中運行多個(gè)虛擬機的風(fēng)險。同時(shí)還有虛擬機鏡像和客戶(hù)操作系統的安全以及物理安全設備的虛擬實(shí)例，例如，從一個(gè)物理防火墻和入侵防御系統進(jìn)入運行同樣的服務(wù)的虛擬鏡像。

虛擬安全市場(chǎng)正在迅速解決與客戶(hù)虛擬機有關(guān)的安全問(wèn)題。雖然從戰術(shù)方面看管理程序是數據中心中最不容易被利用的部分，但是，從戰略上看，管理程序是虛擬數據中心最誘人的攻擊目標，因為攻破這一點(diǎn)就可以訪(fǎng)問(wèn)數據中心的多個(gè)虛擬系統。

企業(yè)應該分析自己使用的虛擬平臺的具體風(fēng)險。重要的是要知道這個(gè)架構的變化如何影響到現有的安全管理系統。企業(yè)IT部門(mén)在向虛擬機遷移或者應用虛擬機之前還應該制定戰術(shù)的和戰略的安全計劃。這些安全計劃是通過(guò)對現有的虛擬安全進(jìn)行綜合分析實(shí)現的，同時(shí)還要計劃應付虛擬平臺的未來(lái)的安全威脅。規劃以及當前架構和安全管理中的小的變化有助于防御未來(lái)的管理程序和平臺級的虛擬化攻擊。

總的來(lái)說(shuō)，作為整個(gè)虛擬化安全架構的一部分，IT部門(mén)應該把重點(diǎn)放在三個(gè)虛擬化方面：

按照位置分開(kāi)虛擬機

虛擬安全領(lǐng)域經(jīng)常討論的問(wèn)題之一是在隔離區使用虛擬平臺。經(jīng)?？吹揭粋€(gè)物理虛擬機主機在隔離區運行公共的和專(zhuān)有的虛擬機，這兩個(gè)安全領(lǐng)域的區分是在軟交換機上實(shí)施的。在實(shí)踐上，這種架構沒(méi)有物理環(huán)境的架構那樣安全，因為這種架構的虛擬機和物理機器共享運行環(huán)境。在物理領(lǐng)域，公共機器應該插入同一臺交換機，虛擬局域網(wǎng)應該與專(zhuān)用機器分開(kāi)。采用虛擬平臺，這個(gè)計算的區分就消失了。一臺主機上所有的虛擬機將共享CPU、內存、總線(xiàn)和網(wǎng)絡(luò )資源。從理論上說(shuō)，這個(gè)共享的虛擬架構提供了從公共網(wǎng)絡(luò )向專(zhuān)有網(wǎng)絡(luò )機器實(shí)施直接攻擊的線(xiàn)路。這相當于把你的全部隔離區的雞蛋都放在一個(gè)籃子里。虛擬平臺上的一切都是由相同的軟件共享和管理的?？刂铺摂M局域網(wǎng)部分的軟件也控制這個(gè)主機的IP堆棧。那個(gè)主機上的IP堆棧中的安全漏洞會(huì )使整個(gè)客戶(hù)網(wǎng)絡(luò )處于危險之中。

消除共享的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機與專(zhuān)用的虛擬機分開(kāi)，在不同的主機上運行和管理這些虛擬機。所有公開(kāi)的虛擬機都應該放置在公開(kāi)的主機服務(wù)器上，用電纜線(xiàn)連接到物理地分開(kāi)的網(wǎng)絡(luò )。對于使用VMware公司的vCenter技術(shù)大規模實(shí)施虛擬化的企業(yè)來(lái)說(shuō)，把公共資源與專(zhuān)用資源集群(許多組主機根據資源組成一個(gè)單一的管理池)分開(kāi)也是很重要的。例如，VMware公司的DRS軟件能夠在一個(gè)集群中的主機之間動(dòng)態(tài)遷移虛擬機。如果公共的和專(zhuān)有的主機在一個(gè)集群中是共享的，一個(gè)DRS事件就可以根據資源的需求把一個(gè)專(zhuān)用的虛擬機遷移到公共主機服務(wù)器，從而取消了任何資源區分的好處。

根據服務(wù)類(lèi)型分開(kāi)虛擬機

一旦根據位置分開(kāi)虛擬資源之后，下一步就是根據任務(wù)或者服務(wù)分開(kāi)虛擬機。換句話(huà)說(shuō)，就是讓全部的網(wǎng)絡(luò )服務(wù)器虛擬機在一個(gè)資源池和集群中，讓所有的應用虛擬機在另一個(gè)資源池或者集群中。同在隔離區內分開(kāi)位置一樣，這個(gè)架構旨在限制那些與攻破虛擬平臺有關(guān)的風(fēng)險。如果一個(gè)攻擊者能夠攻破一個(gè)客戶(hù)虛擬機，在同一個(gè)物理主機上運行的其它客戶(hù)機預計也會(huì )被攻破，因為它們共享同樣的運行環(huán)境。如果在一個(gè)主機上運行的所有的虛擬機都是相同的并且都執行同樣的任務(wù)，而且整個(gè)系統沒(méi)有完全暴露，攻擊者不必利用10個(gè)虛擬機安全漏洞，能夠利用一個(gè)虛擬機的漏洞就夠了。

另一方面，如果一個(gè)主機服務(wù)器正在所有的應用層運行(這些應用層包括網(wǎng)絡(luò )服務(wù)器、應用程序服務(wù)器和數據庫服務(wù)器)，攻擊者通過(guò)利用前端網(wǎng)路瀏覽器漏洞能夠獲得后端數據庫的訪(fǎng)問(wèn)權限?，F在，數據庫將有更大的風(fēng)險，因為它與網(wǎng)絡(luò )服務(wù)器在同一臺主機上運行，共享同樣的資源。根據服務(wù)分開(kāi)虛擬機有助于緩解這個(gè)風(fēng)險，方法是隔離虛擬應用程序并且讓虛擬機保持與具體的硬件資源和集群的聯(lián)系。利用一種類(lèi)型的虛擬機任務(wù)的安全漏洞不會(huì )直接使其它虛擬機任務(wù)面臨風(fēng)險。

整個(gè)虛擬機生命周期內有預見(jiàn)性的安全管理

虛擬機和平臺的主要好處之一是能夠方便地創(chuàng )建、移動(dòng)和撤銷(xiāo)虛擬機。當需要新的服務(wù)的時(shí)候，可以創(chuàng )建虛擬機或者提取存檔的虛擬機，然后根據需要進(jìn)行設置。隨著(zhù)需求的增長(cháng)，人們可以克隆虛擬機或者動(dòng)態(tài)地為虛擬機分配額外的資源。隨著(zhù)需求的減少，人們可以撤銷(xiāo)這些虛擬機的設置，使這些虛擬機不再消耗資源。虛擬機的創(chuàng )建、移動(dòng)和銷(xiāo)毀過(guò)程構成了虛擬機的生命周期。

虛擬機在生命周期的每一個(gè)步都容易受到安全威脅。當從頭開(kāi)始創(chuàng )建新的虛擬機的時(shí)候，重要的是要保證虛擬機使用最新的安全補丁和軟件。當克隆虛擬機鏡像和移動(dòng)虛擬機的時(shí)候，重要的是保持每一個(gè)虛擬機的穩定狀態(tài),以便了解這些虛擬機是否需使用了最新的補丁或者是否需要使用補丁。隨著(zhù)時(shí)間的推移，很容易重復地克隆一個(gè)使用了補丁的鏡像，最終使各種虛擬機保持各種補丁水平。由于鏡像存儲很長(cháng)時(shí)間沒(méi)有使用，這些虛擬機可能會(huì )過(guò)時(shí)，需要在使用的間歇時(shí)間里離線(xiàn)使用補丁，以保證它們在下一次啟動(dòng)的時(shí)候盡可能是安全的。同遷移的虛擬機一樣，資產(chǎn)管理對于銷(xiāo)毀虛擬機和防止閑置的虛擬機在數據中心蔓延成為未知威脅的攻擊目標是非常重要的。

安全技術(shù)專(zhuān)題相關(guān)閱讀：

網(wǎng)絡(luò )準入控制

終端安全管理

業(yè)務(wù)數據防泄露

網(wǎng)間安全交換