保证虚拟化安全的若干建议

　　虚拟平台提供商这段时间以来一直在用自己的平台解决内部的安全问题，同时让互联网安全中心等外部机构使用他们的虚拟安全基准测试项目。这些项目的目标是解决平台安全问题，也就是解决虚拟机基准水平的运行环境问题。包括封锁外部远程登录或者保证只有授权管理员才能使用等一些要求的安全规定可能会重新设置软件交换机。从IT的观点看，这相当于锁定微软的Windows 2003网络服务器;所有的安全措施都适用于这个平台水平，无论它是EXS那样的虚拟平台，还是像在裸机上运行的Windows 2003 Server那样的物理服务器。 　　是否有可能在防火墙连接前实施一个病毒阻止程序?特别是，这将有助于增加虚拟服务器的安全性? 　　执行远离服务器的基于签名的阻止活动或嵌入式补丁(inline patching)是有可能的。使用网络第七层(layer-7)保护技术，比如Web应用防火墙或在线入侵防御系统(IPS)将有助于缓解或解决病毒和其他恶意软件带来的威胁，在它们到达服务器前。 　　不过，考虑到未过滤的互联网流量所产生的大量噪音，我不会将这样一种产品安置在防火墙连接前。理想的情况是，这些产品应该安置在防火前和交换器的基础设施托管服务器之间，作为一个网络第二层(layer-2)的桥。 　　由于这种阻止活动是在远离服务器的情况下执行的--在虚拟化环境以外--所以它对于保护同一物理硬件上的多个虚拟服务器是非常有效的。 　　三种虚拟化安全类型 　　1.当引进新的虚拟化技术时，数据中心增加了新的安全风险，例如，在一个管理管理程序中运行多个虚拟机的风险; 　　2.虚拟机镜像和客户操作系统的安全; 　　3.物理安全设备的虚拟实例，例如，从一个物理防火墙和入侵防御系统进入运行同样的服务的虚拟镜像。 　　虚拟安全市场正在迅速解决与客户虚拟机有关的安全问题，例如，补丁管理和检查同一台主机和软交换机上的虚拟机之间的网络通讯，直接在虚拟客户机上应用这些安全技术。事实上，虚拟化安全实施最大的推动因素之一是推出了在虚拟平台基础设施上运行的杀毒和防火墙虚拟机。然而，与虚拟平台本身有关的风险仍然是不清楚的，因为目前对于内部管理程序和平台安全还没有大量的解决方案。虽然从战术方面看管理程序是数据中心中最不容易被利用的部分，但是，从战略上看，管理程序是虚拟数据中心最诱人的攻击目标，因为攻破这一点就可以访问数据中心的多个虚拟系统(如果不是全部的话)。 　　虚拟化安全策略 　　管理虚拟安全问题：现在开始规划 　　企业IT部门现在应该做的事情是保护自己不受当前和未来的虚拟化安全威胁吗?首先，也是最重要的，企业应该分析自己使用的虚拟平台的具体风险。重要的是要知道这个架构的变化如何影响到现有的安全管理系统。企业IT部门在向虚拟机迁移或者应用虚拟机之前还应该制定战术的和战略的安全计划。这些安全计划是通过对现有的虚拟安全进行综合分析实现的，同时还要计划应付虚拟平台的未来的安全威胁。规划以及当前架构和安全管理中的小的变化有助于防御未来的管理程序和平台级的虚拟化攻击。 　　总的来说，作为整个虚拟化安全架构的一部分，IT部门应该把重点放在三个虚拟化方面： 　　1.按照位置分开虚拟机; 　　2.按照服务类型分开虚拟机; 　　3.在整个虚拟机生命周期内实施有预见性的安全管理; 　　这三个方面将帮助IT部门保护其虚拟基础设施抵御当前的威胁，并且帮助IT部门缓解未来的攻击威胁。