实战指南：全面监测保障虚拟服务器安全

核心提示：服务器虚拟化技术是构成未来新一代企业数据中心的重要元素之一，IT硬件性能效能的突飞猛进，实战指南：全面监测保障虚拟服务器安全，使得在一台服务器上同时执行多个操作系统、提供服务成为可能，然而，不过如此一来，却又可能衍生出一些管理上的疑虑，在整个环境向虚拟化环境移转的过程中，有许多安全上的问题也会随之产生

服务器虚拟化技术是构成未来新一代企业数据中心的重要元素之一，IT硬件性能效能的突飞猛进，使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而，在整个环境向虚拟化环境移转的过程中，有许多安全上的问题也会随之产生，稍有不慎就会造成危害，而影响到日常的营运。

许多人认为“虚拟化是物理环境的应用延伸，对于虚拟机的安全防护只需要采用现有的做法管理即可……”，这个观点从某些方面来说是正确的，但实际上物理机和物理机之间仍有着诸多差异之处，如果未能及时正视这些差异，就有可能因此产生安全问题。

网络架构因虚拟化而产生质变

网络架构是服务器虚拟化的过程中，变动最大的一环，也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前，企业可以在前端的防火墙设备上订立出多个非军事区(Demilitarized Zone，DMZ)，针对不同功能的服务器个别套用合适的存取规则进行管理，假使日后有服务器不幸遭到攻击，危害通常也仅局限在单一个DMZ区之内，不容易对于所有运作中的服务器都造成影响。

虚拟化之后，所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi，微软的Hyper-V)，或者经由“虚拟──实体”网卡之间的桥接(如VMware Server/Workstation，微软的Virtual Server/PC)，与外部网络进行通讯。在这种架构之下，原本可以透过防火墙采取阻隔的防护就会消失不见，Check Point台湾区技术顾问陈建宏就表示，届时只要一台虚拟机器发生问题，安全威胁就可以透过网络散布到其它的虚拟机器。

要解决上述问题的最简单做法，就是在每一台虚拟机器上都安装防毒软件，以及其它种类的资安产品。不过如此一来，却又可能衍生出一些管理上的疑虑，例如应用程序与资安产品之间的兼容性问题即同样可能在虚拟机器的环境下发生。