实战指南：全面监测保障虚拟服务器安全

核心提示： 此外，虚拟机器安装资安产品后的运作效能，实战指南：全面监测保障虚拟服务器安全(2)，也值得企业加以注意，过去在一台实体主机上安装防毒软件，值得注意的是，并非所有的VMware ESX/ESXi版本都有支持这项技术，几十MB的内存使用量不会是太大的问题，但是在虚拟化的环境下

此外，虚拟机器安装资安产品后的运作效能，也值得企业加以注意，过去在一台实体主机上安装防毒软件，几十MB的内存使用量不会是太大的问题，但是在虚拟化的环境下，多台虚拟机器累积下来，就可能占用到相当可观的硬件资源，因此需要寻求其它做法加以因应解决，才能做好虚拟平台上的安全控管。

服务器虚拟化之后，所有的虚拟机器的网络卡，预设会连接在同一台虚拟交换器上运作，无形之间产生安全问题。

从虚拟层下手拦截安全威胁

虚拟化平台的厂商已经提出一套作法，像VMware在今年2月宣布释出VMsafe的API技术，就引发很大的关注，这么一来，能够让资安厂商能够开发与VMware ESX/ESXi半虚拟化平台相整合的资安产品，以便解决前面所提到的这些问题。

VMsafe的运作架构相当简单，相当于我们在每一台虚拟机器前面放置一台安全检查设备，去过滤进出这些虚拟机器的所有流量，于是虚拟机器就不需要安装任何的软件便能得到保护，因此可以省下不少的硬件资源，而实际上，资安产品仅是安装在VMware ESX/ESXi平台之上的一台虚拟机器而己。

其实早在2002年，国外就有人提出过相同的概念，希望结合入侵侦测防御(Intrusion Prevention System，IPS)的技术，保护虚拟机器不受破坏。

从VMware公开的架构图来看，VMsafe是一个介于虚拟机器与Hypervisor之间的虚拟层，但其实，VMsafe的一部份组件是内建于Hypervisor，其它则是寄生于厂商基于这项技术所开发的资安产品，值得注意的是，并非所有的VMware ESX/ESXi版本都有支持这项技术，只有3.0版本以上的VMware ESX/ESXi才有将VMsafe的组件内建其中。