企业CTO的烦恼：虚拟化与安全

虚拟化是近年来对数据中心带来影响最大的技术，急于加强服务器以节省电源和冷却能源等原因让很多企业开始转移到虚拟环境中，这样的话，少数用于测试更新的机器现在都集中在一台服务器上了，通过支持生产应用程序的虚拟化基础设施来实现节省空间和能源的目的。

不过仍然有少数传统保守派迟迟没有采用虚拟化设备，他们认为这样做不太踏实。没有任何事实依据可以说明虚拟化和良好的安全性不能并驾齐驱，事实上，虚拟化提供了多种克服传统安全问题的方法，同时能够降低虚拟化相关的成本并简化管理。

在企业采取虚拟化技术的同时也可以加强安全性，正如服务器虚拟化可以减少目前数据中心中物理服务机器的数量，虚拟化同样也可以帮助减少安全基础设施的数量，带来更简便的管理以及更低的成本。企业可以采用虚拟版本的安全设备，而使用具备所有功能的安全产品或者UTM设备也同样也可以加强安全性。 虚拟化基础设施可以获得像传统基础设施一样有效的安全保护。当存在虚拟化的时候，通常下面总会有一个物理主机层以及连接到网络的共同的网关。需要考虑这一点，虚拟化设施与传统设施在如何保护网络方面是没有差异的。企业可以继续使用标准的网关安全设备，该设备将正常有效欲行。

总而言之，有很多标准准则和最佳做法来帮助大家部署虚拟网络，在大多数情况下，这些部署准则和做法都与物理网络是差不多的。当大家在部署虚拟技术时出现问题时，而把责任都推卸在虚拟化技术上，这是错误的，即使当我们在部署物理IP网络的时候，也可能因为没有适当的配置和管理防火墙或者安全设备而出现问题，虚拟网络同样如此。

当虚拟机器被部署在网络周围时，部署安全最佳做法是非常重要的。已经部署了虚拟化的企业通常会通过移动物理主机之间的虚拟机来减少停机窗口和实现业务连续性。这种方法使他们能够更新设备或者向服务器添加更多的RAM，而用户则不会感觉到任何影响。对于数据中心而言，如果存在大量的服务器以及严格的SLA，就能够实现更高级别的有效性和灵活性。

然而，涉及移动虚拟机器的过程并没有受到专门的保护或者加密操作，虚拟机器的数据在网络上是可以被看到的，也可能在传输过程中被复制，可能受到传统的“中间人”攻击。存在很多最佳做法准则可以防止这种对数据中心的攻击，包括对传输中的数据进行加密或者锁定虚拟机流量，这可能需要使用VLAN(与生产数据隔开的)，甚至部署一个完全不同的物理网络、NIC、电缆等。

按照这些准则来部署可以确保企业的虚拟机器和数据的安全性，然而，事实是这些规则的有效性还取决于你的网络类型。第二，移动虚拟机往往是在数据中心内部进行，而不是从一个网站移到另一个网站。对于灾难恢复的情况，数据复制工具或者使用SAN到SAN链接来移动虚拟机器数据。那些严重偏离上述部署操作的情况应该引起安全团队的重视。

认真考虑上述内容可以为数据中心提供更好的安全保护，同时也可以让企业从更灵活的补丁管理和维持虚拟化系统更新中获益匪浅。虚拟机更新补丁的简易性可以让数据中心更加安全，因为虚拟机映像可以进行修复然后进行克隆，而不是需要同时更新多个单独的激情。这样一来，减少了需要更新系统所花费的时间，并且让测试变得更加简单。

另一个围绕虚拟化和安全方面的问题在于虚拟设备。现在企业不需要安装软件或者向网络中添加新的硬件设备，企业可以选择新方式来执行安全功能---虚拟设备，虚拟设备可以像传统物理设备一样提供安全功能，但确实位于虚拟机内的。

因为软件可能在安装之前被供应商锁定，而虚拟设备可以在不需要供应商的情况下进行启动和安全运行，这些设备可以针对特定目的进行优化，从而提高性能和消除任何不必要的东西。

虚拟设备可以提供传统服务器虚拟化所能提供的优势，而不需要部署其他硬件单元或者物理服务器来托管软件，虚拟设备可以添加到现有的虚拟服务器组中。有了虚拟化，给予应用设备的计算资源的数量就可以更加服务的重要性来分配，这种整合也意味着数据中心内所需要的硬件单元的数量也有所减少，这样就能够降低能耗。因此，数据中心最终可以获得更多的成本利益，同时能够提供更好的安全性。

提供安全服务也可以通过使用虚拟化而变得更加简单，而不需要为共同数据中心内的每隔客户使用单独的物理安全设备，使用虚拟设备毫无疑将更有效地利用资源，同时为客户提供专门的安全服务。对于代表客户运行数据中心环境的企业，这种方法能够减少大量的硬件需求。

随着大家对虚拟化的兴趣不断高涨，部署VMware和Citrix进行服务器整合的企业数量也不断攀升，这些环境必定将成为恶意软件编写者的攻击目标。然而，虚拟器的开发是很复杂的的，因此这也成为恶意软件编写者面临的障碍。其次，操作系统供应商们也所面临着类似的挑战，当发现潜在的漏洞时，就需要及时开发出补丁和推出补丁。正如传统物理安全环境一样，一个周全的补丁管理策略应该能够处理系统更新问题。

虽然你可能不太想将有效的安全应用程序也被虚拟化，但是对于培训和网络测试的安全虚拟化确实存在很多好处。当然并不是所有的安全解决方案都存在虚拟化形式，但虚拟化安全应用确实可以帮助企业培训员工以及在安全的“沙箱”环境中开发安全管理程序。对于数据中心管理人员而言，这可以使安全规划和部署变得更加简单，也可以更好的满足客户的需求。

虚拟化有很多不同的形式，从服务器、存储、桌面虚拟化到应用等，所有这些虚拟化都能为企业带来显著的好处，包括降低成本、提高有效性和加快业务部署等。

【编辑推荐】

1. 浅谈多重威胁企业网络安全
2. 浅析通信网络的安全防护措施 上篇
3. 浅析通信网络的安全防护措施 下篇
4. 浅析中小企业如何应对网络安全威胁
5. 警惕黑客攻击你必须知道的蓝牙安全知识
6. 企业里网络安全：认识服务器的安全维护