虚拟化技术的"软肋"就是安全

　　虚拟化技术是IT业界近年的热点之一，有关厂商及用户可以随口便列出虚拟化技术的多个优点，诸如减少服务器的过度提供、减少IT的总体投资、增强提供IT环境的灵活性、工作负载可以共享资源等等....但互联网安全专家Check Point软件技术有限公司指出，用户在IT环境使用虚拟化技术千万别得意忘形，忽略其安全方面的缺陷，否则可能会弄巧成拙。

　　Check Point 的安全顾问吴航以一个显浅的比喻解释虚拟化技术的正确看待态度："使用虚拟化技术犹如驾驶一辆跑车，很多驾驶者马上就被其高速所吸引，但在风驰电掣之余，他们也必须知道如何能安全地驾驭这辆跑车，例如使用刹车系统、转速器等，否则很容易会车毁人亡!"

　　吴航指出，虚拟化技术的"软肋"就是安全。根据Gartner的预测，在未来几年，60%的虚拟化电脑设备的安全保护水平将比实物电脑系统为弱，这使得虚拟化设备成为潜在恶意代码或者黑客的首选攻击对象。

　　前事不忘乃后事之师

　　吴航表示，用户首先是要正确认识虚拟化电脑设备所面对的安全风险，在这方面有很多关于潜在威胁的理论和讨论，例如针对hypervisors 技术的恶意代码，但可以肯定的一点，就是针对虚拟化设备的攻击会伴随着它的进一步普及而激增，因此系统管理员的挑战是确保虚拟环境的安全水平和实际网络相当。 而业界用了整整15年，还是不断努力确保实物服务器及数据环境的安全，全力以赴应对瞬息万变的安全威胁，所以虚拟化设备的安全战斗也将是艰巨而漫长的。

　　系统管理员需要按部就班解决虚拟化设备的安全问题：首先看看哪个应用程序是从物理层服务器转移到虚拟机的，并查看机构使用了什么虚拟化设备。

　　由于虚拟化技术的性能表现卓越，往往令用户忽略虚拟化设备上运行的应用程序需要分开。假如是公用电子商务应用或内部客户关系管理系统(CRM)，客户不会希望这些应用程序在没有防火墙保护的情况下和服务器有任何实际连接，这也适用于在服务器上运行的虚拟化设备，它们也需要分隔以保证安全性。

　　同样道理，如果用户是在一个传统服务器上运行一个关键任务应用程序，他需要确保操作系统的巩固性，并更新了补丁以及运行最新的反恶意程序套件，确保运行的所有虚拟设备都有同样的准备。

　　一旦客户开始部署虚拟设备，他必需为此等设备进行统一的安全保护，包括更新、补丁、反恶意程序以及防火墙等，而这些工作都是在控制实际网络的同一个安全管理控制台上进行。

　　把虚拟化安全付诸实行

　　吴航用美国BlueLock LLC公司的例子来演绎如何把虚拟化设备的安全付诸实践行动，该公司把其业务定位为"通过提供基础设施作为服务"，它为客户在减省用于硬件及软件的开支，同时令基础设施的管理工作更为简便。

　　因此BlueLock LLC的所有基础设施 - 包括服务器、交换机和路由器都在云计算系统内成为"虚拟机设备"，所以它需要非常可靠的安全保护，确保不同客户的数据和应用程序是完全分离的。

　　为了达到这个安全水平，BlueLock LLC公司采用了60台Check Point's VPN-1虚拟版本(VE)虚拟设备，它为每一个客户配置一台，全都在刀片服务器上运行。

　　这使得该公司的客户尽管是使用同样的实际服务器，但仍然能分隔使用不同的程序。在过去，程序在单一服务器上虚拟化后，分隔使用是不可能的。这也令BlueLock LLC能通过使用Check Point的现有的行政管理工具，便能在单一安全方案同时管理实际及虚拟环境。

　　BlueLock LLC首席技术官Pat O'Day表示："如果使用实际设备，我们必需在远程站点部署相同的硬件备份，同时两个站点的硬件配置必需一致，这工作是十分困难的。"因此BlueLockLLC通过存储区域网络把路由器、交换器、服务器及安全虚拟化，复制至其盐湖城灾难恢复站点。

　　O'Day表示："通过高度安全的虚拟化处理，我只需登陆至盐湖城灾难恢复站点，打开电源便能把整个环境启动，这是具备经济效益的举措，我们为灾难恢复站点的投入主要是购买存储设备而已。"

　　吴航总结说，使用虚拟化电脑环境的法则和传统的IT环境相仿，就是必需先要确保其高度的安全保护。