通过五步骤改善数据中心的虚拟化安全

核心提示：机构在争先恐后地实施虚拟化的过程中正在重新制造过去的20年里在物理环境中犯下的同样的安全错误，发生这种事情主要是因为他们没有认识到新的技术会产生同样的风险，通过五步骤改善数据中心的虚拟化安全，尽管观察这个问题的角度不同，SunGard Availability Services公司安全解决方案经理、美国知名的信息安全趋

机构在争先恐后地实施虚拟化的过程中正在重新制造过去的20年里在物理环境中犯下的同样的安全错误。发生这种事情主要是因为他们没有认识到新的技术会产生同样的风险，尽管观察这个问题的角度不同。SunGard Availability Services公司安全解决方案经理、美国知名的信息安全趋势专家Richard Rees介绍了改善数据中心虚拟化安全的五个步骤……

机构在争先恐后地实施虚拟化的过程中正在重新制造过去的20年里在物理环境中犯下的同样的安全错误。发生这种事情主要是因为他们没有认识到新的技术会产生同样的风险，尽管观察这个问题的角度不同。SunGard Availability Services公司安全解决方案经理、美国知名的信息安全趋势专家Richard Rees介绍了改善数据中心虚拟化安全的五个步骤。

由于攻破一个虚拟系统或者管理程序可能导致攻破一个虚拟化环境中的多个应用程序，机构仅在事后才想到安全问题，这个风险太大了。随着虚拟化技术成为数据中心中普遍应用的技术，采取下面五个步骤有助于解决虚拟化的挑战：

第一个步骤：在拥有总成本计算中包含安全

在考虑虚拟化时，一个主要的推动因素是通过改善数据中心的服务器利用率和服务器整合来节省成本。节省成本包括节省硬件成本、减少数据中心占地面积和减少配置成本。在这些计算中应该加入安全的因素，以便提供一个完整的画面。例如，提供监视、入侵检测、补丁验证和跟踪以及其它安全服务的虚拟设备也许需要安装在每一个物理平台。这可能会减少每一台物理主机支持的虚拟服务器的数量，影响投资回报。

第二个步骤：把安全摆在虚拟化设计阶段的优先位置

机构需要监视虚拟环境中的安全指标以及性能，要求在隔离应用程序和系统方面做出智能的选择。例如，对一个虚拟环境隔离信用卡信息能够极大地减少电子商务公司违反支付卡行业安全规定。

然而，把在同一台物理主机上接收信用卡信息的面向互联网的Web服务器当作检查库存和管理订单跟踪的数据库的应用服务器会增加数据遭到破坏的风险。

第三个步骤：监视无形的网络

虽然一个物理服务器环境在一个能够监视的物理网络上传送数据通讯，但是，一个虚拟服务器连接到一个虚拟网络是很难监视了，并且很难保护虚拟机之间传送的数据的安全。这是在物理环境中得到证明的解决方案，如入侵检查和嗅探。这些解决方案要适应虚拟环境。其它即将出现的解决方案包括在管理程序水平上的增强的监视、虚拟补丁管理和对虚拟化系统进行安全调查的工具。

第四个步骤：控制便携式存储

控制个人数据存储设备的使用在虚拟化环境中比以往任何时候都重要。由于便携式的性质和虚拟服务器镜像的尺寸，虚拟化是提高恢复的一个极好的技术。机构能够把自己的系统镜像复制到一个硬盘，携带这些系统镜像到一个恢复站点，把这些系统镜像连接到复制的数据，比灾难恢复的时间表提前几个小时。

然而，优盘、安全数字卡和iPod能够为任何用户提供若干GB的便携式存储，适合把几个服务器镜像复制下来并且走出公司大门。对于这些设备，有一个管理解决方案对于保护在服务器镜像中的敏感的、可识别个人身份的和专有的业务信息是必要的。

第五个步骤：跟上虚拟化安全研究最新成果

在2008年DEFCON黑客会议上，一个领先的安全研究人员展示了攻破虚拟化管理程序的多种方法。攻破管理程序之后接下来就可以攻破虚拟主机，暴露信用卡信息、工资和福利、专有的业务战略和研究等企业信息资产。要记住，这些潜在的攻击仅仅是冰山的一角。机构需要与时俱进部署适当的应对措施，并且在某种情况下部署其它控制措施以解决没有最新的解决方案的问题。

这些步骤反映了这种战略信仰：即信息安全必须集成到虚拟化环境的评估、设计和实施阶段，以便保护数据资产和满足遵守法规的要求。随着许多企业把重点放在了虚拟化的好处上，他们必须要考虑核心的风险，否则就来不及了。这就意味着安全从一开始就要建在虚拟化解决方案中。（IT专家网）