當(dāng)前，很多企業(yè)紛紛減少IT預(yù)算中資本支出的部分，轉(zhuǎn)而把更多的IT消費(fèi)和預(yù)算側(cè)重于戰(zhàn)略性的技術(shù)上，比如數(shù)據(jù)保護(hù)。同時(shí)，這些企業(yè)也更加關(guān)注虛擬化在下一代的數(shù)據(jù)中心中所能夠扮演的重要角色，即節(jié)約硬件采購(gòu)成本并壓縮空間，并延長(zhǎng)數(shù)據(jù)中心的生命周期。在此過程中，調(diào)整企業(yè)的安全戰(zhàn)略以充分發(fā)揮虛擬化的優(yōu)勢(shì)成為企業(yè)不可回避的一個(gè)問題。

x86虛擬化平臺(tái)實(shí)現(xiàn)于軟件，它與其他軟件一樣，不可能完全沒有安全漏洞。VMware、Xen（現(xiàn)在的名稱為Citrix）和微軟等大型虛擬化平臺(tái)軟件廠商均已在最近幾年內(nèi)找到各自平臺(tái)的漏洞，但只要按時(shí)打補(bǔ)丁和升級(jí)，主機(jī)幾乎不會(huì)受到攻擊。ESX等系統(tǒng)管理程序已經(jīng)過加拿大通信安全部（CSEC）通用標(biāo)準(zhǔn)評(píng)估和認(rèn)證評(píng)估與認(rèn)證方案（CCS）驗(yàn)證，獲得了EAL4+級(jí)通用標(biāo)準(zhǔn)認(rèn)證。EAL4+級(jí)是在全球范圍內(nèi)受到《通用標(biāo)準(zhǔn)重組協(xié)議（CCRA）》的所有簽署方最高安全級(jí)別的認(rèn)可。那么，當(dāng)前虛擬機(jī)的安全問題具體表現(xiàn)在哪些方面？產(chǎn)生原因何在？又有哪些有效而可行的解決方案能助企業(yè)一臂之力？

虛擬機(jī)安全問題及應(yīng)對(duì)之道

(一) 主機(jī)/平臺(tái)安全性
虛擬監(jiān)控系統(tǒng)（VMM）和虛擬機(jī)與物理網(wǎng)絡(luò)連接的虛擬主機(jī)平臺(tái)在可用配置選項(xiàng)類型方面存在很大差異，這主要取決于系統(tǒng)架構(gòu)。例如，VMware的ESX虛擬主機(jī)服務(wù)器平臺(tái)與Red Hat Linux之間存在著許多相似性。此類系統(tǒng)的穩(wěn)固性大都能夠得到增強(qiáng)，客戶可以按照“最佳實(shí)踐”配置準(zhǔn)則來提高系統(tǒng)安全性，其中包括設(shè)置文件訪問條件、管理用戶與用戶組、設(shè)置日志與時(shí)間同步參數(shù)。您也可以從The Center for Internet Security（CIS）、NSA和DISA等虛擬化平臺(tái)廠商處獲得許多免費(fèi)的配置指南。除此之外，瘦身的Hypervisor，如VMware的ESXi僅占用32 MB空間， 有助于可以確保系統(tǒng)更安全、漏洞更少以及補(bǔ)丁次數(shù)更少。

(二) 安全通信
如果無法確保主機(jī)系統(tǒng)與臺(tái)式機(jī)或VMware vCenter等管理基礎(chǔ)設(shè)施組件之間的安全通信，那么竊聽、數(shù)據(jù)泄露和中間人攻擊等情況便會(huì)成為企業(yè)安全的嚴(yán)重威脅。如今，大多數(shù)知名平臺(tái)都支持通過SSH、SSL和IPSec展開必要通信，它們會(huì)啟用這全部三種通信方式或其中的一種。

(三) 虛擬機(jī)之間的安全性
虛擬化企業(yè)面臨的最大安全問題之一是虛擬機(jī)間流量的不透明性。主機(jī)平臺(tái)內(nèi)存在一個(gè)能與每臺(tái)虛擬機(jī)連接的虛擬交換機(jī)——實(shí)際上，主機(jī)的物理NIC被抽象成為了交換結(jié)構(gòu)。許多企事業(yè)機(jī)構(gòu)早已部署了網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)解決方案，來提高流量透明度和安全性，便于在出現(xiàn)重大網(wǎng)絡(luò)問題的第一時(shí)間收到預(yù)警。隨著虛擬交換機(jī)的引入，主機(jī)上的所有虛擬機(jī)之間的流量會(huì)全部包含在主機(jī)的虛擬交換組件內(nèi)，從而會(huì)嚴(yán)重?fù)p害透明度和安全性。幸運(yùn)的是，大多數(shù)企業(yè)級(jí)虛擬化解決方案都內(nèi)建有傳統(tǒng)第2層交換控制特性，因而您可以在虛擬交換機(jī)上創(chuàng)建鏡像端口來監(jiān)控流量。

(四) 主機(jī)與虛擬機(jī)之間的安全性
“虛擬機(jī)逃逸 (VM Escape)”（惡意代碼“突圍” 虛擬機(jī)，在提供支持的虛擬主機(jī)上運(yùn)行）一直以來都是信息安全性社區(qū)的熱點(diǎn)討論話題，而且已有種種跡象表明存在發(fā)生這種逃逸的可能性。事實(shí)上，已有事件能夠證實(shí)存在此類攻擊行為。為避免遭受此類攻擊，用戶可以下載廠商提供的補(bǔ)丁，但目前最安全的方法是關(guān)閉不需要的服務(wù)來抵御虛擬機(jī)逃逸及其它與虛擬機(jī)與主機(jī)之間的互動(dòng)相關(guān)的攻擊。

(五) 虛擬機(jī)泛濫
虛擬機(jī)泛濫 (VM Sprawl) 是指虛擬環(huán)境中的虛擬機(jī)數(shù)量出現(xiàn)不受控制的劇烈增長(zhǎng)。這可能會(huì)導(dǎo)致退役的虛擬機(jī)沒有從生產(chǎn)虛擬磁盤文件系統(tǒng)卷被刪除。隨著時(shí)間的流逝，虛擬機(jī)泛濫所帶來的風(fēng)險(xiǎn)會(huì)越來越大：處于睡眠狀態(tài)的虛擬機(jī)將丟失補(bǔ)丁或配置發(fā)生更多變化；如果此類虛擬機(jī)不符合要求，虛擬機(jī)重新與生產(chǎn)中的主機(jī)進(jìn)行連接，則可能會(huì)影響到該虛擬機(jī)或其它虛擬機(jī)的安全運(yùn)行產(chǎn)生隱患。 為解決虛擬機(jī)泛濫及隨之引起的安全問題，應(yīng)設(shè)定虛擬機(jī)創(chuàng)建限制條件，部署正規(guī)流程，設(shè)置記錄功能，改變控制策略和流程，并制定用于每臺(tái)虛擬機(jī)創(chuàng)建和更換的授權(quán)、測(cè)試、通信和恢復(fù)要求和機(jī)制。

(六) 安全人員、服務(wù)器配置流程和虛擬化技術(shù)的脫節(jié)
許多系統(tǒng)管理員缺乏有效保護(hù)虛擬環(huán)境的專業(yè)知識(shí)。虛擬化模糊IT人員的角色與職責(zé)。例如，一名存儲(chǔ)管理員很容易在虛擬機(jī)泛濫安裝不知情的情況下導(dǎo)致后端存儲(chǔ)吞吐量出現(xiàn)瓶頸。虛擬化正在改變傳統(tǒng)的服務(wù)器配置流程，我們需要建立一個(gè)全新的框架來避免發(fā)生虛擬機(jī)泛濫問題，進(jìn)而解決隱藏的安全問題。有許多早期部署的虛擬基礎(chǔ)設(shè)施沒有采納最佳實(shí)踐基礎(chǔ)設(shè)施架構(gòu)的部署。我們應(yīng)該避免“為虛擬化而虛擬化”的思維定式，將注意力放在“人員、流程和技術(shù)”的無縫整合上去創(chuàng)造一個(gè)迎合高效企業(yè)基礎(chǔ)架構(gòu)平臺(tái)。高安全性的基礎(chǔ)架構(gòu)是來自于強(qiáng)有力的執(zhí)法和嚴(yán)格的執(zhí)行。

戴爾為虛擬機(jī)安全保駕護(hù)航

(一) 虛擬化設(shè)計(jì)就緒
戴爾通過流程引導(dǎo)項(xiàng)目相關(guān)人員來識(shí)別要求和限制，以創(chuàng)建適合不同企業(yè)的設(shè)計(jì)。可以利用戴爾的參考體系結(jié)構(gòu)和現(xiàn)場(chǎng)經(jīng)驗(yàn)。考慮所有受到影響的最終用戶組安全策略、應(yīng)用程序以及基礎(chǔ)架構(gòu)維護(hù)計(jì)劃，避免實(shí)施過程中出現(xiàn)問題。

(二) 虛擬化運(yùn)營(yíng)就緒評(píng)估
通過此項(xiàng)服務(wù)可對(duì)當(dāng)前的虛擬服務(wù)器運(yùn)營(yíng)流程進(jìn)行評(píng)估，確定其與就緒狀態(tài)之間所存在的差異，以及提供改進(jìn)建議。它涉及架構(gòu)安全性選項(xiàng)、管理職責(zé)分離、離線虛擬機(jī)保護(hù)/更新和虛擬機(jī)審查等安全領(lǐng)域。

(三) 虛擬化健康檢查
使用《狀態(tài)檢查報(bào)告卡》來審計(jì)和分析當(dāng)前虛擬化環(huán)境和業(yè)務(wù)目標(biāo), 將發(fā)現(xiàn)的結(jié)果和建議記錄到狀態(tài)檢查報(bào)告中, 標(biāo)識(shí)最重要的問題并確定后續(xù)步驟。

戴爾安全案例：
戴爾PowerEdge系列服務(wù)器配備有嵌入式的Hypervisor，如僅占用32 MB空間的VMware ESXi Edition。這項(xiàng)占地空間更小的Hypervisor可以確保系統(tǒng)更安全、漏洞更少以及補(bǔ)丁次數(shù)更少。

另外，在戴爾的EqualLogic存儲(chǔ)方面，每個(gè)存儲(chǔ)資源（LUNS）都有它自身的ACL（access control list, 訪問控制列表），所以，即使發(fā)生了前端非法入侵，所有數(shù)據(jù)在后臺(tái)也是100%安全的。與傳統(tǒng)用于保護(hù)訪問的網(wǎng)絡(luò)分區(qū)（networking zoning）方式相比，這是一個(gè)很大的增強(qiáng)特性。vMotion/Live Migration將使區(qū)塊變得過大，從而使更多服務(wù)器得以訪問數(shù)據(jù)存儲(chǔ)，造成額外的安全漏洞。為了能自由地將虛擬機(jī)從一臺(tái)物理機(jī)轉(zhuǎn)移到另一臺(tái)上，虛擬機(jī)必須保證所有的物理服務(wù)器都包括在了FC-SAN網(wǎng)絡(luò)區(qū)塊中，否則，當(dāng)虛擬機(jī)抵達(dá)新的物理機(jī)時(shí)，將不再有訪問存儲(chǔ)的權(quán)限。與每個(gè)FC-SAN中總是希望控制非常有限的服務(wù)器的傳統(tǒng)方法不同，在虛擬化的執(zhí)行過程中，F(xiàn)C-SAN管理員將不得不把更多服務(wù)器納入網(wǎng)絡(luò)區(qū)塊，使得出現(xiàn)錯(cuò)誤的幾率大增，有時(shí)甚至?xí)ㄒ恍┎槐匾姆?wù)器，且沒有合適的LUN保護(hù)，結(jié)果造成服務(wù)器錯(cuò)誤執(zhí)行并占用并不支持的存儲(chǔ)資源。

有人說，企業(yè)在部署并實(shí)施虛擬化戰(zhàn)略時(shí)，安全是首當(dāng)其沖的最重要問題。所謂“知其然，更知其所以然”，將可能產(chǎn)生安全問題的隱患條分縷析，進(jìn)而制定并貫徹適合企業(yè)自身特點(diǎn)的安全策略，“虛擬化”就能真正從“流行”升華為“效益”，助力企業(yè)的長(zhǎng)期可持續(xù)發(fā)展。