如何提升虚拟化架构安全

核心提示： 虽然虚拟机本身具有一定的弹性，但是对于那些运行关键任务的虚拟机来说，如何提升虚拟化架构安全(3)，安全监控和管理仍然是非常重要的，他说：“如果你没有针对虚拟机专门的策略或者流程的话，他们会说，我们需要应用虚拟化、我们需要节省成本和减少冷却设备，你可能将面对更多的风险，你必须准备

虽然虚拟机本身具有一定的弹性，但是对于那些运行关键任务的虚拟机来说，安全监控和管理仍然是非常重要的。

他说：“如果你没有针对虚拟机专门的策略或者流程的话，你可能将面对更多的风险。你必须准备足够完善的安全管理策略来对虚拟机进行管理和追踪。”

现在大多数人都认为很难入侵物理数据中心盗取数据，但是实际上并非如此。入侵者不需要进入数据中心，就可以轻易创建一台虚拟机，并通过这台虚拟机或者读取机密数据的路径，有时候你甚至不知道入侵者是如何做到这一点的。

他说：“当你采用虚拟化技术的时候，安全性并没有因此而加强，事实上反而减弱了。另外一个重要原因就是虚拟机蔓延。”

今年年初Verizon Business发布的一份报告结果现实，27%的系统攻击都是来自于与系统的未认证连接，10%来自于系统的非法权限。

Haletky表示：“管理员并不知道设备存在与否，有了虚拟化技术之后，新虚拟机非常容易在环境中运行，如果不对其进行控制和认证的话，这将引发一系列安全问题。”

Haletky表示，除非企业已经制订了相应的审核流程，那么那些没有经过认证就在网络中创建的虚拟机很容易让数据中心变得十分脆弱。IT管理者需要执行的一个解决方案就是采用某种形式的工作流审核流程来对他们的系统进行审核和监控。

Haletky表示：“目前，虚拟化安全就是一系列的审核流程，你需要审核、获得报告、或者通知。如果你能在这些方面做得很好，你就能够占据优势。”不过阻碍审核流程创建最大的难题就是目前市场中并没有一款成功的产品。

Haletky表示：“现在没有工具会告诉你已经添加了新的虚拟机，你必须自己去查看。有了VMware ESXi，你可以在虚拟机启动的时候收到提示，并且可以通过电子邮件了解这些信息。但是你仍然无法得知虚拟机运行的任何信息。”

Haletky表示，不仅仅是网络安全，现在来自VMware、CISecurity和DISA/STIG的三种主要安全监控向导也无法为那些网格将ESX服务器设置到审核流程中、对实际运行进行监控的用户提供启动脚本。他表示，安全向导列出了需要审核的具体项目，但是这些远远不够。

另外一个相关的问题就是大多数虚拟化管理员都需要网络方面的虚拟化安全性。保护虚拟环境不仅仅涉及服务平台、管理应用和网络。它还包括存储、备份、灾难恢复和业务连续性等方方面面，另外还涉及到专门的工具。

如果你找不到或者没有足够的开支来聘请一位虚拟化安全专家来帮助你的话，那么专家建议企业只需要找一位了解虚拟化技术的安全技术人员就可以。对大多数企业来说，在他们最终决定需要哪种监控流程之前，这主要是涉及到风险分析。

他说：“如果你看一看现有的针对虚拟服务器应用的设计，你就会发现设计中甚至都没有提到安全问题。他们会说，我们需要应用虚拟化、我们需要节省成本和减少冷却设备，但是他们却不会说我们需要确保环境安全。”