颠覆性的虚拟机，实时的动态模拟。欢迎来到服务器的虚拟世界，在这个世界里，新的和传统的安全工具无论是防火墙还是入侵防护系统都不能保护它的安全，这将是一个新的威胁。

　　不幸的是，对于许多企业来说，它们的安全战略步伐没有跟上x86服务器虚拟化的转变。Forrester研究所的分析师JohnKindervag说，许多企业都没有考虑虚拟化的安全问题，也没有意识到不重视虚拟化安全的后果。

　　Gartner的分析师NeilMacDonald也表示赞同。他说，对于虚拟化安全问题的一般认知水平是，我们是不是很需要他。

　　对于IT专业人士来说，他们往往持这样的观点：由于物理和虚拟服务器运行着的Linux和Windows操作系统，那么物理服务器的安全就足以保证虚拟服务器的安全。MacDonald说，如果认为这两者的安全性没有什么区别，那么就犯了一个很严重的错误。

　　MacDonald还表示，当虚拟化的时候，引进一个工作在Windows和Linux系统上并依赖于它们完整性的新软件层的时候，第一件要做的事就是要承认这个新的软件层，并围绕它的配置和管理漏洞建立基本安全体系。这是最基本的解决模式。

　　其次，需要弄清楚虚拟化创建过程中的网络盲点。两台虚拟服务器之间的流量并不是在物理服务器中通过网络防火墙或者IPSs可以看到的流量。我们需要建立虚拟服务器的安全控制，来看到虚拟服务器之间的网络流量。如果看不到这些，即使一台虚拟服务器遭到攻击，那我们也无从得知。

　　许多企业还没有在虚拟化服务器的安全问题上投入更大的精力，因为他们的虚拟化部署都是不成熟的。当虚拟服务器只是用于测试或者开发，而非关键性的用途，虚拟化的安全是没有太大的问题的。但是随着虚拟化被应用到关键任务上的时候，就必须部署安全措施，特别是保护虚拟化基础设施。

　　康涅狄格州Thomaston银行的助理副总裁兼网络管理员PatrickQuinn说，“我们原本在部署我们物理服务器的安全，但当我们开始发展我们的虚拟化部署时，我们觉得应该采取积极的措施，部署我们的虚拟化安全措施，来确保我们的客户信息。”

　　当该银行注重虚拟化的安全时，它在虚拟环境中就处于安全的网络段，他们使用Catbird网络公司的vSecurityTrustZones虚拟安全技术，它允许不同的信任级别都有一个公共的虚拟主机。

　　该项虚拟化安全技术负责人Quinn说，他已经为每个分行的信托区，以及一些主要的办公室。使用了该项虚拟安全技术。

　　信息安全专家KrisJmaeff说，在不列颠哥伦比亚省Kelowna的卫生机构也希望能够将其纳入其整体安全架构的虚拟服务器层。

　　Catbird网络公司已经在虚拟化安全这一领域已经取得了一定的知名度，他们的下一步目标是用虚拟传感器来监测他们的虚拟服务器或者世界某个地区内的互联网。

　　对此，内政部正在测试惠普公司的TippingPoint的安全虚拟框架，它可以让安全团队监测vSwitch（没有VMware平台的虚拟交换机）和VM的变化，以明确安全管理的状况。

　　此外，惠普公司TippingPoint的虚拟IPS从Reflex系统中集成了vTrust虚拟安全技术。这是一种类似于Catbird网络公司的vSecurityTrustZones虚拟安全技术。该项技术可以让使用者建立安全稳定的网络环境和执行政策，并可以监测，过滤和控制虚拟机之间的流量。

　　该项目的负责人说，对于这个测试版，他们的目标是获得更多的经验和知名度，并对未来的安全规划打下良好的基础，这是一个很好的学习最尖端的虚拟安全技术的机会。[page]

　　Catbird和Reflex两家公司都是着重于虚拟服务器安全领域的公司，其他包括诸如Altor网络公司，Apani公司和HyTrust公司等在内的可以提供完善安全服务的公司都处于刚刚起步的阶段。此外，还有惠普的TippingPoint系统，CA技术公司，专注于安全功能如访问控制和日志管理;CheckPoint软件技术公司，专注于虚拟防火墙;Juniper网络公司，是Altor网络公司的战略联盟;IBM公司，专注于IPS;TrendMicro公司，收购了刚刚起步的虚拟安全公司ThirdBrigade。

　　Gartner的MacDonald说，由于大公司的投入，这标志这虚拟化安全将成为大众化的需要只是个时间问题，这只是个时间问题，那些大公司都具有虚拟化的安全实施。我们不需要特别去运行IPS或者一个防毒软件的副本。这样会破坏虚拟化的一个整体层。相反，良好的配置，管理漏洞和补丁则是必须的。

　　Forrester的Kindervag补充说，有人说，现代大约40%的网络问题是由配置和其他人为错误所引发的。这是我相信，安全管理比程序的安全更为重要。

　　MacDonald说，现在这些供应商谈论的都是如何保护虚拟系统，正如保护物理服务器的工作环境一样。当开始在不同的信任级别结合物理服务器和虚拟服务器的时候，安全问题就显的尤为重要。

　　在评估虚拟安全产品的时候，MacDonald建议，选择那些经过优化，运行在虚拟化环境，并已经集成了微软的虚拟化框架VMware和Xen的虚拟化供应商。

　　就其本身而言，虚拟化领导者VMware公司通过其VMsafeAPI的虚拟机操作来提供虚拟安全公司的可见性。

　　VMware的服务器业务部门的产品营销高级主管VenuAravamudan说，大约有7个主要的安全厂商加入了VMsafe的合作伙伴。他们已经开发出了虚拟安全网络，这个网络的一个显着特点在高安全的系统环境中以特殊的方式来管理系统程序。这里面的一个重要原因就是，在今年的早些时候，在2010年的RSA大会上，VMware预演了下一代虚拟服务器的安全技术可能的工作。同TrendMicro的合作，表明了下一代VM主机上运行的防毒产品并不是这一代VM上所运行的。一旦这项技术变成现实，我们不需要代理每一个VM，这意味着更好的性能，更低的管理成本等。同时，这也意味着新的功能，该产品的模型驱动显示，它能够检测在文件管理程序上运行的rootkit，并检查文件的完整性，发现虚拟机里的信用卡等敏感信息。

　　MorganKeegan公司，是全国最大的区域性投资公司之一，是国内少数几家重视虚拟化安全的公司之一。他们部署了大量的措施来应对虚拟化安全会出现的各种问题。

　　这是因为该公司在2008年3月就推出了它的虚拟化安全项目。该公司的服务器基础设施已经有75%进行了虚拟化，大约有515台虚拟机在分布于三个数据中心的52个VMwareESX主机上运行。

　　MorganKeegan管理网络系统的工程总监ParkerMabry说，IT部门的一个特定目标是将传统的DMZ防火墙应用到虚拟环境中去，同时能够在虚拟环境的管理中，使整个系统得到足够的保护，这样才能真正的受益。

　　这就需要与信息安全小组接近的计划，并比较虚拟防火墙与物理服务器的防火墙，如思科防火墙的功能特点。如果能够成功的在虚拟环境中看到一个虚拟防火墙的价值，这对他们本身来说就是一个巨大的成功。

　　为了强调DMZ虚拟机，MorganKeegan使用Reflex公司的vTrust安全产品。

　　McClain还说，从业务角度来看，该公司通过严格的身份认证保护虚拟机。随着VMware的vCenter虚拟化管理工具和管理界面的应用，他们认识到了虚拟化系统的安全牵涉着很多问题。

　　VMware公司鼓励其合作伙伴发展虚拟化安全计划，以确保这些企业能够得到安全的保护。

　　VMware还认为，因为虚拟化能够大量的节约成本和提高效率，当涉及到安全的时候，这就是一个艰巨的任务了”

　　Gartner的MacDonald表示赞同。“我们清楚地看到的是，虚拟化并非天生是不安全的，但它今天得到的部署是不安全的。但是这个问题将在未来3至4年内，当IT人员，基础设施，服务提供商等进一步成熟之后，虚拟化部署就会像今天在物理环境中一样的安全。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。