毫无疑问，虚拟化在数据中心的快速应用有许多好处。但是，这并不意味着没有风险。有些风险与安全有关，尽管不能说虚拟化就有安全风险。不过，许多具体的风险仅在虚拟化环境中出现。

    许多安全专家强烈建议重要的网络和安全设备不能部署在虚拟平台上，而要在专用的机器上运行。身份识别/目录服务和防火墙是一些重要的网络服务。尽管有专门保护虚拟化平台上的这些服务的安全解决方案，但是，最好不要冒这个不必要的风险，除非你必须要这样做。

    虚拟化环境有自己的特殊性，因此，你用来保护虚拟化数据中心的安全措施也许不能同时满足虚拟化环境和非虚拟化环境的需求是毫不奇怪的。事实上，你在采用虚拟化之后是有许多东西需要学习的。如果你已经开始应用虚拟化并且没有制定安全政策，虚拟化也许会成为推动你加强数据中心安全的一个推动因素。

    虚拟化的安全问题

    保护一个虚拟化环境的安全也许不需要许多特殊的手段。但是，仍有一些专门在虚拟化环境中出现的安全漏洞，或者在虚拟化环境中常见的安全漏洞。虚拟化环境中的主要安全漏洞如下：

    1. 管理程序是一个故障点。管理程序(或者平台)承载不同的应用程序，特别容易受到攻击，因为如果管理程序被攻破，你的全部5台服务器或者10台服务器就在一次攻击中全部崩溃。管理程序还能被劫持，从而使黑客能够控制那台机器上的全部虚拟服务器。

    2. 拒绝服务攻击更容易。许多虚拟服务器在一台物理服务器上运行并且共享资源的事实意味着拒绝服务攻击会容易。除非在设计时就想到要专门对付拒绝服务攻击，否则，每一个虚拟服务器都应配置有限的安全措施以应付攻击者。如果这个攻击非常强大，无论是不是分布式的攻击，服务器被攻破的可能性都是非常高的。

    3. 主机内通讯。主机内通讯是指一个物理平台中的服务器之间的通讯。这是虚拟化带来的另一个问题。

    4.一台主机，多台虚拟服务器。在非虚拟化环境中，你有一台主机，就是一台服务器。你检查这个主机的安全就可以了。采用虚拟化，你需要检查主机本身的安全和所有的虚拟服务器，包括当前离线的那些虚拟服务器。如果你忘记其中一个虚拟服务器，这个主机上的所有的虚拟服务器都会有风险(当然，网络的其余部门也会有风险)。此外，当一台服务器遭到攻击时，其它服务器和主机本身也都会有风险，特别是如果这些服务器都没有设置隔离功能的话。把许多鸡蛋放在一个篮子里确实方便，但是，这个风险是不容忽视的。

    5. 动态的IP地址。当你在不同的机器上部署了许多虚拟化服务器的时候，这可能会导致这些虚拟服务器使用的IP地址频繁变化。除了IP地址的冲突之外，这还能导致基于IP地址的安全检测措施失败。因此，当你使用基于IP地址的保护措施的时候，你一定要反复检查你的IP地址列表是否与实际机器的IP地址匹配。

    6. 检查你使用的镜像。虚拟化把部署变成了一块蛋糕。你只需要把服务器的镜像拷贝到不同的主机上，它就部署完了。然而，你也许想不到要检查这个镜像。你也许认为这个镜像是干净的和没有安全风险的，并且勇敢地使用这个镜像。遗憾的是，这个镜像也许有巨大的安全风险，因此，一定要首先对镜像进行安全检查，然后再部署它。

    虚拟化确实存在一些具体问题。这些问题在非虚拟化环境中是没有的。然而，如果你知道如何解决这些问题并且及时采取充分的措施，你就能够在没有风险的情况下享受虚拟化的好处。你需要采取的某些措施是非常明显的，你也许已经猜到了要采取什么措施。然而，有些措施不是那样明显，但是却具有同样的重要性。

    保证虚拟化数据中心安全的措施

    当安全成为人们担心的问题的时候，人们永远也不敢肯定有足够的措施就够用了。尽管采取了所有的措施并且按照最佳做法和指南去做，以便让网络不可能从外部或者内部突破，但是，现实仍然是你对网络安全采取的措施越多越好。下面是保护虚拟化数据中心安全的一些基本步骤。

    1. 修改你的安全政策。你也许很想知道为什么安全措施的列表从这一点开始。因为许多技术人员忽略程序问题，所以有必要首先提出管理规定。因此，在你决定采取什么措施保护你的数据中心的安全之后，你要修改你的安全政策以便保证这些安全政策包含充分的规定。然后，你要应用这些修改的措施并且把最新的修改通知你的员工。与这些有修改有关的每一个人，无论他或者她仅仅是一个用户还是对有关机器拥有管理员权限的人，都应该知道这些变化。此外，如果你没有关于安全政策的书面规则和规定，你现在就把它们写下来。

    2. 保证主机操作系统的安全。由于主机与管理程序一样是一个单个故障点，你需要采取一切必要措施最大限度保证操作系统的安全。这个步骤包括安装补丁、更新软件，这与保证非虚拟化主机的安全没有什么区别。

    3. 保证虚拟机操作系统的安全。在你保证主机安全之后，你还要保证虚拟机操作系统的安全。

    4. 检查所有的服务器是否安装了必要的补丁。当你在一台机器上有10个虚拟服务器的时候，人工逐个检查每一个虚拟服务器是一项乏味的工作，但是，你必须要进行这种检查。如果你使用了自动化的补丁安装程序，你可能会跳过一两台服务器，这将破坏整个主机的安全，甚至会破坏网络的安全。

    5. 隔离和隔离区。隔离和隔离区是传统的网络安全最佳做法。你要把这些做法应用到虚拟化环境中。一些专家建议说，你不应该在隔离区外面或者在端点上设置虚拟机。不过，这有点极端。你可以专门为虚拟化的服务器创建隔离区。虚拟化的隔离区与传统的隔离区没有多大区别。

    6. 监视主机之间的通讯。有许多工具能够监视同一台主机上的虚拟服务器之间的通讯。你要利用这些工具，因为如果存在安全问题的话，发现得越早越好。

    7. 任务和权限。任务和权限是虚拟化方面的另一个问题。你需要考虑许多特殊的风险，例如，只有在你采取保护措施的时候才允许主机管理员拷贝虚拟服务器的镜像。此外，每一个虚拟服务器的管理员不应该拥有访问这台机器上的其它服务器的权限，除非他们真正需要这个权限。当一个人是主机的管理员同时也是虚拟服务器的管理员的时候，这不是一个问题。但是，当涉及到不同的人的时候，就需要明确权限。

    8. 使用适当的软件。虽然几年前还没有专门的解决方案保证虚拟化环境的安全，但是，这种情况现在已经成为历史了。许多虚拟化解决方案厂商和第三方厂商都提供专门满足虚拟化网络需求的软件。这些软件能够为你提供很大的帮助。

    9. 限制你的安全政策对IP地址的依赖。基于IP的安全对于非虚拟化的环境有许多局限性。但是，对于虚拟化环境来说，由于IP地址频繁变化，这个局限性就有较大的风险。因此，如果你能够尽可能地限制你使用的基于IP的保护机制，那对你是有益的。

    10. 使用跨平台安全管理。当你能够做到的时候，你要使用跨平台安全管理。这有助于你避免许多潜在的危险，还能够使不同种类的虚拟服务器农场管理更加容易。

    11. 不要忘记传统的安全风险。最后，不要忘记传统的安全风险，如恶意软件或者入侵检测。还要考虑接入控制，记录监视等等，并且分别对每一个虚拟机单独地采取这些措施。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。