虚拟效劳器是有很多益处，但它的平安问题完整暴露了吗?如何确保平安性?能够采用下面十个积极步骤。

　　去年，数据中心虚拟化方面的严重问题还是“该技术可俭省几资金和时间?”而到今年，这个问题将变成“采用该技术，我们会有多平安?”这是一个极难答复的问题。

　　一大批拼命采购虚拟化产品和效劳的厂商、参谋在风险及如何防备风险方面存在相左的观念。同时，一些平安研讨人员也在大肆宣传理论上存在的风险，比方可能会呈现的歹意软件。市场研讨公司伯顿集团的高级剖析师ChrisWolf说:“如今虚拟化方面的动静很大，让人晕头转向。”

　　许多IT部门表示，在去年开端创立成千上万个新的虚拟机时，他们以为运转速度比其他要素(如平安规划)更重要。IDC公司担任企业系统管理软件的研讨主任StephenElliott说:“平安是虚拟化扩建过程中被遗忘的一个角落。要是想想如今虚拟机的数量，的确挺让人担忧。”据IDC宣称，往常，员工总数不少于1000人的公司当中有75%在运用虚拟化技术。

　　Gartner公司的副总裁NeilMacDonald在去年10月举行的Symposium/ITxpo大会上预测，到2009年，60%的消费虚拟机平安性将不如物理效劳器。

　　平安专家ChrisHoff以为，到目前为止，盘绕虚拟化平安的讨论大局部都是片面的。他是优利系统公司平安创新部门的首席架构师。其实应该这么思索:“曾经把晓得的平安学问运用到了虚拟化环境中吗?我们应当确保构建的虚拟网络要与构建的物理网络一样牢靠、平安。”

　　某些IT部门正在犯一个基本的错误：他们让效劳器部门单枪匹马地展开虚拟化项目，没有让IT团队的平安、存储和网络专家参与进来。这会给虚拟化技术带来内在的平安问题缺陷。

　　伯顿集团的Wolf说：“虚拟化绝大局部靠规划，而规划必需让全部团队参与进来，包括网络、平安和存储等团队。”而事实上，大多数IT团队在疾速推进虚拟化的项目，平安方面的工作跟不上。假如错失了与一切专家一同规划的大好时机，那该怎样办呢?Wolf说：“平安方面想踌躇不前，无妨从认真检查虚拟根底设备动手，这要借助工具或者参谋。”

　　下面是企业为了增强虚拟机平安能够采取的十个积极步骤：

　　十步监控预防数据中心虚拟化平安隐患一、控制虚拟机的数量

　　创立虚拟机只需短短几分钟，但虚拟机数量越多，面临的平安风险也越大，所以，最好可以跟踪一切的虚拟机。

　　ArchCoal公司担任IT的CIOMichaelAbbene说：“我们先对很不重要的测试和开发设备停止了虚拟化处置，然后转向一些不太重要的应用效劳器。由于不断很胜利，所以我们把目的放在比拟重要的效劳器上，但这么做会加大风险系数。”该公司目前大约有45个虚拟机，包括活动目录效劳器以及几台应用效劳器和Web效劳器。

　　那么，如何控制效劳器数量激增?一个办法是:创立虚拟效劳器要像创立物理效劳器一样严厉。在ArchCoal公司，IT团队对创立新虚拟机的审批很严。“无论是物理效劳器还是虚拟效劳器，都要经过同样的流程才干取得批准。”ArchCoal的微软系统管理员TomCarter说。

　　为此，ArchCoal的IT部门经过一个委员会(由效劳器和存储等不同部门的IT员工组成，完成轮岗制)批准或者否决申请。这意味着应用开发部门的人员基本无法擅自构建VMware效劳器，不过他允许开发人员提出请求。

　　专家以为，虚拟机数量激增是一大问题，会招致管理、维护性能及配置供给的才能呈现滞后。“另外，假如虚拟机的数量超出了控制范围，就会呈现预料不到的管理本钱。”TomCarter说。

　　十步监控预防数据中心虚拟化平安隐患二、运转更多流程

　　虚拟化技术最吸收人的或许在于速度：只需几分钟就能创立虚拟机，能够轻松挪动，只需求一天而不是几周即可提供新的计算功用。但IDC的Elliott以为，放慢节拍，认真思索虚拟化成为现有IT流程的一局部，就可以从基本上预防平安问题。

　　Elliott说：“流程至关重要。思索虚拟化时不只要站在技术的角度，还要站在流程的角度。”举例说，假如运用ITIL来指导IT流程，就要思索虚拟化能否合适流程框架。假如运用其他IT最佳理论，也要思索虚拟化的顺应性。

　　Hoff举例说：“假如要增强效劳器平安，就应当对虚拟效劳器采取与物理效劳器同样的一套做法。”

　　在ArchCoal公司，Abbene的IT团队就是这么做的。Abbene说：“我们确保物理效劳器平安的最佳理论运用到了每一个虚拟机上。”增强操作系统平安、在每一个虚拟机上运转反病毒软件、确保落实补丁管理，这些措施使得虚拟机具有同样的平安流程。

　　十步监控预防数据中心虚拟化平安隐患三、应用平安工具

　　能否需求一套全新的平安和管理工具来维护虚拟化环境?不需求!

　　明智之举就是，从维护物理效劳器和网络环境的一套现有平安工具动手，然后运用到虚拟环境。但一定要理解厂商是如何跟踪虚拟化风险、未来如何与其他产品停止集成的。

　　IDC的Elliott说：“维护物理环境的工具用于维护虚拟化环境是一种虚假的平安感。”同时他又说：“对虚拟化环境的新型平安工具而言，目前处于市场的早期阶段。这意味着必需对传统厂商以及潜在的新兴厂商施加压力。”

　　别以为平台层面的工具(如VMware的工具)足够好。要看一看新兴公司和传统管理厂商。对那些传统厂商施加压力，请求他们做更多的工作，并为他们提供指导。

　　马自达北美公司的CIO—JimDiMarzio就在他的企业中采用了这项战略。与ArchCoal一样，马自达北美公司也在虚拟效劳器的中心处运转VMware的ESXServer软件，最近不断在增加虚拟机的数量。DiMarzio说，到2008年3月会有150个虚拟机。

　　为了维护这些虚拟机的平安，DiMarzio决议继续运用现有的防火墙和平安产品，包括IBM的TivoliAccessManager、思科防火墙工具以及赛门铁克的入侵检测系统(IDS)监控工具。

　　ArchCoal公司的Abbene及其团队也继续运用原有的平安工具，同时又在调查BlueLane和ReflexSecurity等新兴公司的工具。Abbene说：“传统平安厂商正在奋起直追，他们在这方面落后于新兴公司。”

　　十步监控预防数据中心虚拟化平安隐患四、采用嵌入式管理程序

　　效劳器上的虚拟机管理程序层充任虚拟机的根底。VMware近期宣布推出的ESXServer3i虚拟机管理程序的共同之处在于不包括通用操作系统。出于平安上的思索，它采用了精简设计，只占用32MB空间。

　　像戴尔和惠普这些硬件厂商表示，它们会在物理效劳器上托付像VMware这种虚拟机管理程序的嵌入式版本。根本上，嵌入式虚拟机管理程序由于比拟小，所以比拟平安。

　　专家以为，嵌入式虚拟机管理程序是未来的一大趋向。不但从未涉足过这个范畴的一些公司会提供嵌入式虚拟机管理程序，大多数效劳器厂商也会提供。BIOS软件范畴的市场指导厂商PhoenixTechnologies近期宣布:进入虚拟机管理程序范畴，首先会推知名为HyperCore的产品，即面向桌面和笔记本电脑的虚拟机管理程序。用户开机后，能够运用网络阅读器和电子邮件等客户软件，无须等候启动Windows(HyperCore将被嵌入到电脑的BIOS中)。

　　虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能呈现的结果是，许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。Hoff说：“无论是Phoenix还是其他厂商，会呈现备受关注的竞争，这些虚拟机管理程序都希望成为下一个优秀的操作系统。”

　　十步监控预防数据中心虚拟化平安隐患五、限制访问虚拟机权限

　　假如赋予了访问虚拟机的管理员级别权限，也就是赋予了访问该虚拟机上一切数据的权限。伯顿集团的Wolf倡议，要谨慎思索员工需求哪种账户和访问权限。更复杂的问题是，有些第三方厂商针对虚拟机的存储和备份平安的倡议是过时的。Wolf又说：“有些厂商以至自身就没有恪守VMware针对VMwareConsolidatedBackup的最佳理论。”

　　ArchCoal的信息平安管理员PaulTelle说，总体而言，公司特别留意限制访问虚拟机的管理员权限。他指出，公司里只要一小局部人才具有这样的权限。

　　应用开发人员应该只要最小的访问权限。“我们的应用开发人员能够访问共享区域，这是最小的访问权限。他们无法访问操作系统。”他说，这有助于控制虚拟机数量激增，同时加强了平安性。

　　十步监控预防数据中心虚拟化平安隐患六、留意存储资源

　　有些企业在SAN上提供过多的存储资源，这就可能错误地让虚拟机的共享区域成为SAN的一局部。

　　假如运用VMware挪动虚拟机的工具VMotion，会在SAN上分配一些分区存储资源。但还要细化存储资源的分配，就像在物理环境下那样。瞻望将来，N-portID虚拟化技术是一个选择，这项技术能够只为一个虚拟机分配存储资源。

　　十步监控预防数据中心虚拟化平安隐患七、隔离网段

　　企业走上虚拟化道路，不该无视与平安有关的网络流量风险。但其中一些风险很容易被无视，假如在停止虚拟化规划时没有网络和平安人员参与，更是如此。Wolf说：“许多企业只是把性能作为兼并效劳器的度量规范。”

　　举例说，有些CIO绝对不允许任何虚拟效劳器呈现在“非军事区(DMZ)”。(DMZ是寄存外部效劳到互联网的子网络，就像电子商务效劳器一样，它在互联网和局域网之间增加了缓冲区)。

　　Wolf说，要是DMZ里面果真有几个虚拟机，就要放在与一局部旧系统(如关键的Oracle数据库效劳器)分开在的独立网段上。

　　Abbene说，在ArchCoal公司，IT团队一开端就思索到了DMZ。他们把虚拟效劳器部署在内部局域网上，不面向公众。Abbene说：“这是一个关键的决议。”举例说，公司在DMZ里面有几台平安的FTP效劳器以及几台从事简单电子商务的效劳器，公司不打算把虚拟机部署到里面。

　　十步监控预防数据中心虚拟化平安隐患八、留意交流机

　　什么时分交流机不是交流机?Wolf说：“有些虚拟交流机的工作方式相似集线器，每个端口镜像到虚拟交流机上的一切其他端口。”特别是往常的微软VirtualServer带来了这个问题。VMware的ESXSserver不会，思杰的XenServer也不会。他说：“人们一听到‘交流机’，就以为有隔离机制。这其实视厂商而定。”

　　十步监控预防数据中心虚拟化平安隐患九、监控“非法”虚拟机

　　要担忧的不只仅是效劳器。Wolf说：“最大的要挟在客户端上—非法虚拟机(rogueVM)。”那么，什么是非法虚拟机?用户可以下载及运用VMwarePlayer这样的免费程序，会让桌面和笔记本电脑用户能够运转由VMwareWorkstation、Server或者ESXServer创立的任何虚拟机。

　　往常许多用户喜欢在桌面或者笔记本电脑上运用虚拟机分开各局部工作，或者分开公事与私事。有些人运用VMwarePlayer在一个机器上运转多个操作系统。比方运用Linux作为根本操作系统，却创立一个虚拟机来运转Windows应用。

　　Wolf说：“这些虚拟机以至没有打上相应的补丁。那些系统暴露在网络上因此一切未加管理的操作系统易受攻击。”

　　这会添加很多风险：运转非法虚拟机的机器可能会传播病毒。更糟糕的是，可能还会传播到物理网络上。举例说，有些人就很容易加载DHCP效劳器以便分配虚假IP地址。这实践上就是一种回绝效劳攻击。至少，会把IT资源糜费在查明问题上。以至有可能是简单的用户错误，也会给网络带来不用要的担负。

　　那么如何防备非法虚拟机呢?首先应当加以控制，规则谁能够取得VMwareWorkstation(由于创立虚拟机需求它)。IT部门还能够运用群组平安战略来避免某些可执行程序运转，比方装置VMPlayer所需的可执行程序。另一个选择是，定期检查用户的硬驱。需求找出装有虚拟机的机器，然后标志出来，以便IT部门采取恰当行动。

　　这是不是已成了用户和IT部门之间的另一个争论点—通晓技术的用户需求在公司能像在家里那样运用虚拟机?Wolf说还没有。他说：“大局部IT部门对此置之不理。”

　　假如允许用户在电脑上运转虚拟机，VMware的LabManager及其他管理工具能够协助IT部门控制及监管这些虚拟机。

　　十步监控预防数据中心虚拟化平安隐患十、做好虚拟化平安预算

　　IDC的Elliott说：“确保分配好虚拟化平安和管理方面的预算。”ArchCoal公司的Abbene指出，可能不需求在平安预算中为虚拟化平安单列预算，但全部平安预算最好为它留出足够多的资金。

　　另外，在预算虚拟化的投资报答时要留意平安本钱。Hoff指出，对越来越多的效劳器停止虚拟化处置，并不会使平安开支有所降低，由于需求运用现有的平安工具来管理每个虚拟机。假如没有意料到这笔开支，可能会减少投资报答。

　　据Gartner宣称，这是目前常犯的一个错误。据Gartner的副总裁NeilMacDonald宣称，2009年，部署的虚拟化技术大约有90%面临未意料到的本钱，比方平安本钱等，这会影响投资报答。