為主機服務器上不同類型的虛擬機創建物理安全區，已無法保證服務器虛擬化安全了。因此，網絡和網絡安全供應商推出了虛擬安全產品，它們可以在虛擬宿主的虛擬機上直接應用安全控制和策略。

虛擬化方案出現之初服務器虛擬化安全問題便一直困擾著網絡安全專業人員。問題的部分原因在于無法監測虛擬機(VM)的行為，并且無法將安全策略應用到虛擬機上，因為連接這些VM的網絡端口已經抽象運行到物理主機上的超級管理程序中了。過去，網絡專業人員一直通過對物理主機服務器劃分安全區來解決這個問題。只要虛擬管理人員之間進行合作，并保持虛擬機器位于正確的物理VLAN上，這個問題還是可以解決的。

但是服務器虛擬方案正在迅速發展中。支持VM遷移的技術，如VMware vMotion，只需輕點一下鼠標便可以使網絡安全控制完全失效。目前，VM的啟動和關閉非常頻繁，人為操作失誤逐漸成為一個較大的風險。管理員可以很輕易地在一臺信用卡處理交易專用物理主機上啟動一個測試及開發VM，同時網絡安全團隊會馬上面臨審計的噩夢。

一家中型的East Coast 銀行的IT副總裁Dave Williams 表示，“你可以相對容易地啟動虛擬機器，這取決于你操作的熟練程度，但問題是，你會發現有些管理員還只是剛開始接手工作。他們可能會將開發系統和生產系統部署在同一臺ESX主機上”。

事實上，由Juniper Networks及其虛擬安全伙伴Altor Networks共同在VMworld 2010上所進行的一個IT專業人員調查顯示，70%的被訪者都在同一主機上部署不同的VM負載，以便提高他們的風險預測水平。其中55%的被訪者表示在他們的網絡上，每天都會發生多次的VM增加和刪除操作，因此增加了人為失誤的風險。

Altor Networks市場副總裁Johnnie Konstantas 表示，“他們在面向互聯網的服務器上安裝了數據庫，并為客戶資源應用安裝了Web服務器，而為合作伙伴提供外部網絡訪問。這可能使服務器處于更高風險狀態，特別是那些連接到互聯網上的服務器，它們還可能將一些風險帶到到一些沒有連接到互聯網且擁有高價值的設施上。從安全和法規的角度考慮，它們是必須被隔離的。”

Williams說道，“在談到DMZ這個問題時，我更傾向于盡可能地使用物理邊界。如果你用一個物理交換機將服務器連接到DMZ上，那么我不愿意將主機虛擬化到不同VLAN上。工程師們可能會說，‘我們可以將整個VLAN虛擬化，這樣VM就不會連接到一起了’，但是，管理員可能很快就把它搞壞。”

服務器虛擬化安全性產品正在不斷完善

供應商正在快速地解決這些問題。在過去的兩年中，Juniper Networks已經在其防火墻業務方面與Altor Networks發展成為緊密的伙伴關系。在VMworld大會上，Check Point發布了Security Gateway Virtual Edition，Cisco Systems推出了VMsafe，VMware的應用程序接口(API)允許安全供應商將Cisco System產品與vSphere整合為一體。

這些供應商都致力于將自己的產品直接應用到管理程序技術上來實現服務器虛擬化安全性，從而與支持靜態服務器的物理安全性控制一樣精確。

Konstantas 表示，“我們在操作系統底層和內部安裝了管理程序，這樣我們就不僅能夠對進出VM的數據包即時應用安全性，而且我們還可以全面地監測VM的運行狀況。我們可以觀察到VM上的網絡連接，它所分配的端口以及網絡的配置。我們還可以看到VM內部安裝的應用及服務。” 同時，他還表示，“我們可以將安全策略應用到這些VM上，即使它只是一個將所有的虛擬化服務器都作為軟件元素運行的物理主機，我們可以控制它們，就如同Juniper的SRX在物理環境中進行的操作一樣。”

整合物理網絡安全和服務器虛擬化安全是至關重要的

一個產品能夠運行真正的虛擬化安全只是第一步。企業必須能夠將物理和虛擬安全整合為統一的管理點，這樣安全操作才可以變得更簡單和更自動化。

Enterprise Strategy Group資深分析師Jon Oltsik表示，“你必須將你的虛擬安全工具與物理工具管理整合到一起，這樣你就可以同時管理物理設備和虛擬設備。你擁有通用的策略管理、通用的策略執行、通用的報告和通用的審計。如果我有物理的Juniper SRX設備和虛擬防火墻，那么我就希望創建一個將它們全部包含在內的安全策略。”

【編輯推薦】

1. Red Hat劍指云計算 矛頭直逼VMware
2. 虛擬化：IT服務快速走向云計算的驅動力
3. 從虛擬化角度看云計算架構和邏輯
4. VMware：云計算不需要服務器虛擬化
5. 拆穿服務器虛擬化十大謊言
6. 撕去面紗 揭示服務器虛擬化和云計算的陰暗