虚拟化安全防护建议

在企业实际的虚拟化应用过程中，需要遵循如下一些有效的建议：

• 如果有的话，用户应该确认云平台供应商使用的虚拟化类型；
• 实施者应该考虑通过分区的方式将生产环境与测试/开发以及高度敏感数据/业务分离；
• 由于性能差异很大，实施者在测试和安装虚拟机安全工具时应该考虑性能问题。考虑具有虚拟化感知能力的服务器和网络安全工具也同样重要；
• 在虚拟化的环境中用户应该与主要的供应商评估、协商并且完善许可协议；
• 通过在每个访客实例中采用硬化软件或者具有基于Hypervisor的API的内嵌虚拟机，实施者应该保障每个虚拟化的操作系统的安全；
• 虚拟化的操作系统应该附加内置的安全措施，充分利用第三方安全技术实现分层的安全控制，减少对平台供应商的单纯依赖；
• 施者应该确保在默认配置下安全措施达到或者超过现行业界基准水平；
• 实施者应该对不在使用中的虚拟机镜像进行加密；
• 通过在分离的物理硬件诸如服务器，存储等设备上标识数据的应用（比如桌面vs.服务器），生产阶段（比如研发，生产，以及测试）和敏感度，实施者应该探寻对虚拟机的隔离和建立安全区的效果和可行性；
• 实施者应该确保安全漏洞评估工具和服务能覆盖到所采用的虚拟化技术；
• 实施者应该考虑在整个组织内采用数据自动发现和标签方案（比如DLP数据泄露保护），以此增加虚拟机和环境间的数据分类和控制；
• 实施者应该考虑对非工作状态的虚拟机镜像进行补丁操作或者对刚刚运行的虚拟机采取其它保护措施，直到他们被打上补丁；
• 实施者应该明白在虚拟机的外部采用何种合适的安全控制来保护面向用户的管理接口（例如基于Web或API的）；
• 必须采用内嵌于Hypervisor API的虚拟机特定安全机制对虚拟机背板间的流量进行细粒度监控，（这些流量）对于传统的网络安全控制是不可见的；
• 为了应对虚拟化带来的新的安全挑战，实施者必须更新安全策略；
• 实施者必须通过基于策略的密钥服务器对虚拟机访问的数据进行加密，存储密钥的服务器与虚拟机和数据隔离；
• 用户必须意识到虚拟机处于多租户环境下，监管可能要求保证虚拟机的隔离；
• 用户必须验证来自任意第三方的虚拟机镜像或者模板的来源和完整性，或者更好的话建立自己的虚拟机实例；
• 虚拟化的操作系统必须包含防火墙（入口/出口）、主机入侵防御系统（HIPS）、网络入侵防御系统（NIPS）、web应用保护、防病毒、文件完整性检测 以及日志检测等。安全对策可以通过每个访客虚拟实例或者具有基于Hypervisor的API的内嵌虚拟机中的软件来传递；对虚拟机个体实施适当的加固和 保护包括防火墙（入站/出站），主机入侵防御系统（HIPS），网站应用层保护，防病毒，文件完整性监控和日志监控等都可透过软件向每个虚拟机客户提供， 或利用内嵌的虚拟机与基于Hypervisor API协同提供；
• 提供商删除虚拟机镜像时必须清空所有的备份和失效备援（failover）系统；
• 提供商必须具备报告机制。如果有隔离被突破时，报告机制可以提供隔离的证据并发出告警。