虚拟化急需跨过“安全”这道槛

　　为了对不同安全级别的应用作出划分，一些公司将系统划分为可信任区，非可信任区和可向公网开放的区域。比如，把一些拥有重要关键性数据的虚拟机划分到安全等级很高的区域里；而一些对安全要求不高的信息则被划分到非可信任区。这些区域采用物理方式划分，方法有很多种。限于篇幅，这里就不再赘述了。

　　值得注意的是，用这种划分安全区的方法来保护虚拟环境，将大大限制虚拟化的效率。企业不得不为划分这些区域而添加更多的服务器。“诚然，虚拟化带来的好处和投资回报使得它发展的异常迅速。企业用户借助虚拟化可以灵活的部署更多的数据库服务器、WEB服务器和应用服务器。”分析师Antonopoulos说，“然而我们现在也面临这样的困惑，一方面我们希望通过虚拟化来获得更高的硬件资源利用率、灵活性和投资回报，但另一方面我们也面临着很多安全性的问题。”

　　上文提到，在多个虚拟机中运行安全软件，将增加CPU的负载。Burton Group公司的分析师Pete Lindstrom表示：“人们一般在传统的物理服务器上部署了大量的安全工具。但如果将它部署在众多的虚拟环境里，这种应用就显得奢侈和浪费资源。”

　　有的公司曾尝试将一个虚拟路由服务器，架设在物理网络与虚拟机之间。这样所有虚拟机与外部的通信都会经过这个“哨卡”，以预防入侵和恶意软件。但是这样做将增加系统的复杂度，并导致网络性能的下降。也就是说，一旦面对大规模的虚拟机系统，这种牺牲性能的方法也将无所作为。

　　很多安全厂商都在积极推出有自己特色的虚拟系统。比如Skybox Security针对虚拟环境升级了自己的软件，在其Skybox View 4.0风险管理与网络建模套件中提供了对Juniper和Cisco虚拟防火墙的支持。该软件可以从不同的数据源，如防火墙、路由器、入侵检测系统、扫描仪、服务器和应用软件中抽取数据，然后通过它的风险模型对其进行处理，并将结果与业务目标和安全策略进行对比分析。

　　为了帮助合作伙伴更好的完善其虚拟环境的安全特性， VMware开始倡导它的VMsafe APIs应用程序接口。VMsafe APIs允许第三方安全供应商构建监控和保护系统管理程序?。它作为一种安全应用服务，使厂商可以自行开发工具，来阻止病毒和木马，并监视网络流量，建立与虚拟机结合更紧密的一整套防御体系。目前约有二十个供应商正致力于采用VMsafe API进行虚拟化安全产品的研发，包括Check Point软件、McAfee、Symantec以及VMware母公司EMC的RSA安全系统。

　　分析师Lindstrom认为：“VMsafe对市场发出了一个信号，VMware公司正在采取积极的策略，与第三方安全供应商合作，来完善和改进虚拟化环境。”

　　但这种开源的策略本身也是一把双刃剑。“虽然安全厂商可以根据APIs与系统商??互动，从而开发出更好的安全工具。但是，攻击者也可以利用APIs开发相应的攻击软件，对系统造成更大威胁。”优利系统公司的Hoff说道。

　　诚然，虚拟环境的安全风险与日俱增，但是相应的解决之道也与时俱进。“针对虚拟化的安全工具正在日趋成熟。”高级顾问Hession说，“安全厂商正在不停的改进他们的相关产品。在市场的检验下，这些工具最终会成为整个网络结构的一部分。”而试图从虚拟化当中获得降本增效的公司，将加速这一进程。