警惕：虚拟服务器并不总是安全的

申请免费试用、咨询电话：400-8352-114

隔离你的虚拟机

现在有许多IT管理者认为，配置虚拟服务器将使他们的虚拟机免收安全漏洞和病毒的攻击。但是Edward L. Haletky等虚拟化安全专家认为，IT经理将惊奇地发现，对于保护虚拟架构他们需要付出更多的努力。

Haletky曾经撰写过一篇关于虚拟化安全的书籍，他表示：“目前有关虚拟化技术最大的安全问题就是很多人并不知道他们自己真正在做什么。虚拟化管理员并不是安全管理员。他们之所有不能成为安全管理员是因为有太多需要学习的技能。虚拟化管理者也不是存储经理，但是他们却需要有这方面的知识。”

尽管虚拟化技术本身并不容易受到攻击，但是安全管理员和虚拟化管理员之间的知识差异导致了虚拟服务器配置的不安全性。现在虚拟化安全专家还很少，所以建议虚拟化管理员更多地掌握有关知识，审核针对他们虚拟机的策略，确保虚拟机上的功能性和内容被分配到独立的操作环境下。

隔离你的虚拟机

据Haletky称，虚拟化管理员必须担心四种网络：管理网络、存储网络、虚拟机网络和VMotion网络。他说，如果虚拟化管理员不隔离这些网络的话，就有可能产生最大的安全漏洞。

他说：“一些管理员将所有这四种网络的smack标签放在他们的DMZ上。”有非常严格和快速的规则控制IT部门在DMZ中的行为——首先也是最重要的一个就是禁止系统中有超过一个的网络链接。Haletky表示，相同的规则也还可以应用到虚拟服务器方面，他建议IT管理者尽可能地远离DMZ。

加拿大IDC公司安全和软件研究主管David Senf也认同这个观点，他说：“为了避免混淆安全策略、防止扩大权限，一些IT部门不允许DMZ中的虚拟机session停留在DMZ后端的主机上。”

Info-Tech Research Group高级研究分析师John Sloan表示，管理员可以通过特殊的安全区域内聚合虚拟机来使用网络隔离。他解释说：“有些设备可能是从其他设备上分离出来的，因此需要不同层级的安全性。”

Sloan还建议那些使用实时迁移功能（这种功能可以将运行中的虚拟机从一台物理服务器迁移到另一台物理服务器上，从而优化性能、减少宕机时间）的管理员小心这项功能对安全性的影响。

他说：“有些情况下服务器设备可能需要更高层级的安全，但是他们可能需要迁移到其他设备中，是因为性能问题而不是安全问题。因此，这就增加了更多的复杂性，因为你需要了解物理服务器是如何分区的，确保‘相同’的服务器都使用相同的平台。”

虚拟化解决方案提供商Tresys技术设计总监Karl MacMillan表示：“现在最紧迫的安全需求就是确保虚拟化软件本身存在的漏洞不允许用户虚拟机在操作系统中引发灾难或者可能闯入其他用户虚拟机中。”

有了将具备相同访问权限的虚拟机整合到一起的理念之后，就产生了在独立虚拟机上隔离单个应用的功能。他说，这将确保你的HR应用不会受到Web浏览器的影响。

MacMillan表示：“这种做法的优点在于你可以通过使用更多虚拟机的功能来加强独立性。但是由于虚拟机繁殖迅速的特点，你还需要确保这些操作系统的安全性。你还要对这些操作系统进行升级、打补丁、对其进行追踪等。”