我們都知道，虛擬化能夠為企業節省資金和簡化IT資源管理。但是，虛擬化還能夠用來增強我們的系統和網絡的安全嗎?從虛擬蜜罐和虛擬蜜網的創建到使用微軟的Hyper-V技術隔離服務器的任務、使用最新版本VMWare Workstation無縫地使用沙箱技術保護應用程序等許多技術方面看，答案是肯定的。本文將介紹一些使用虛擬化工具提高Windows環境安全的一些方法。

　　虛擬化安全與為安全實施的虛擬化

　　我們聽說過虛擬化環境產生的許多安全問題。大多數問題似乎都集中在如何保護虛擬機的安全上。虛擬化技術確實能夠引起一些安全問題。然而，當正確使用虛擬化技術時，虛擬化還能夠提供與安全有關的好處。

　　控制是保證系統安全的重要因素，它包括機構內部的控制和從外部訪問你的網絡資源的那些控制(如遠程用戶使用的便攜式計算機和移動設備)。應用程序虛擬化為你提供了集中控制最終用戶訪問的方法。桌面虛擬化允許你為潛在的有害的應用程序和網站創建安全的和隔離的計算環境。

　　數據集中化使保護數據的安全更加容易。基于服務器的虛擬化技術意味著敏感的數據不存儲在臺式電腦或者更容易丟失的筆記本電腦中。這是非常重要的。

　　沙箱技術

　　沙箱是一種隔離的技術，能夠用來運行一些可能對操作系統、其它應用程序或者網絡構成威脅的應用程序。虛擬機不能直接訪問主機資源。因此，它制作了這個完美的沙箱。如果你的一個應用程序是不穩定的，有安全漏洞的，或者是沒有經過測試和未知的，你可以把這個應用程序安裝在虛擬機中，這樣，如果這個應用程序崩潰或者被攻破，它不會影響到主機系統的其它部分。

　　因為網絡瀏覽器通常是惡意軟件和攻擊的通道，一個好的安全做法是在虛擬機上運行瀏覽器軟件。你也可以在虛擬機上運行其它互聯網應用程序，如電子郵件客戶端軟件、聊天軟件和P2P文件共享程序。這個虛擬機可以訪問互聯網，但是不能訪問企業的局域網。這可以保護訪問本地資源的主機操作系統和商業應用程序不會受到通過互聯網連接接入的虛擬機的攻擊。

　　另一個好處是如果虛擬機被攻破，你能夠很容易恢復這個虛擬機。虛擬機軟件提供了在一個特定時間點上對虛擬機進行“快照”的功能。在這個虛擬機被攻破的時候，退回到原來“快照”時的狀態是很容易的。

　　用VMWare Workstation 6.5實現無縫的虛擬應用程序和豐富的桌面體驗

　　最新版本的VMWare Workstation 6.5用“Unity”功能提供了迄今為止最集成的桌面體驗。這個功能允許你從你的主機桌面的虛擬機查看單個的應用程序，就像這些應用程序在主機操作系統上運行一樣。對于用戶來說，這將使虛擬應用程序更無縫地集成在一起，從而提供更滿意的用戶體驗。由于你能夠在虛擬機和主機之間進行拖放或者拷貝和粘貼操作，用戶幾乎不知道這個應用程序是在虛擬機上運行的。在對虛擬機中的網絡瀏覽器等應用程序應用沙箱技術時，不會再出現任何“麻煩因素”。

　　這個新的軟件還能夠讓你建立一個虛擬機，以便擴展到多個監視器。這個功能在你需要在虛擬機中并列地運行多個應用程序時是有用的。你還可以建立不同的虛擬機以便在不同的顯示器上顯示每一個應用程序，讓你更方便地跟蹤你在指定的時間正在哪一個虛擬計算機上工作。你還可以在后臺運行虛擬機，不用使用工作站用戶界面。

　　服務器隔離

　　服務器整合是許多企業使用虛擬化技術的主要目的。當然，不使用虛擬化技術你也可以在一臺服務器上執行多個服務器任務。你的重要控制器可以作為DNS服務器、DHCP服務器、RRAS服務器等等。但是，一臺服務器執行多個任務，特別是在一個域名控制器上執行多個任務，會有巨大的安全風險。虛擬化能夠讓你在同一個物理服務器上運行上述同樣的任務，同時讓服務器相互隔離，因為他們在運行不同的虛擬機。

　　微軟設計了Hyper-V技術旨在防止單個虛擬機之間非授權的通訊。每一個虛擬機都在母分區中的一個單個的工作流程中運行，并且以用戶模式的有限權限運行。這有助保護母分區和管理程序。其它旨在隔離虛擬機的安全機制包括單獨的虛擬設備、每一個虛擬機連接到母分區的虛擬機總線和虛擬機之間不共享內存。

　　總結

　　適當地使用虛擬化技術能夠為你的網絡上的機器提供額外的一層安全保護。對于最佳安全做法來說，在虛擬機上運行的操作系統和應用程序應該像在物理服務器運行一樣得到同樣的安全保護。虛擬化應該僅僅是你的安全武器庫中的許多工具之一。