虚拟化大规模应用：机遇与问题同在

核心提示： Apani公司的高级技术主管George Tehrani表示，该公司正致力于让EpiForce方法能够随时可用，虚拟化大规模应用：机遇与问题同在(7)，那样就可以为刚创建的虚拟机指定相应的安全区，他表示，然后观察有无任何变化，只要配置保持一样，VMware的VMsafe API让Apani

Apani公司的高级技术主管George Tehrani表示，该公司正致力于让EpiForce方法能够随时可用，那样就可以为刚创建的虚拟机指定相应的安全区。他表示，VMware的VMsafe API让Apani可以为虚拟基础架构3控制台提供这样的功能：指定EpiForce安全策略，并同时更新策略和其他管理功能。VMsafe"将统一管理控制台，从而节省管理虚拟机的时间和成本，"他说。所有功能将通过虚拟基础架构3来管理，而不是分别使用虚拟基础架构3控制台和安全控制台。

赛门铁克的知名工程师Bruce McCorkendale表示，VMware的安全API非常必要。赛门铁克正使用VMsafe API，把其产品扩展到虚拟机领域。他表示，开发可监控虚拟机管理程序的安全产品为安全软件厂商提供了比他们留意防范的入侵者"更高的权限视角"（privilege perspective）。就权限而言，公司网络是比较平坦的：谁只要获得或骗过服务器管理员角色，就有机会进入服务器。虚拟机管理程序的权限视角更像是塔楼看守人的视角：他能在被人发现之前发现对方。

通过虚拟机管理程序，安全专家们就可以"对虚拟机采取前所未有的控制力度"；McCorkendale表示，而对物理服务器实行这种力度的隔离和监控比较难。

该信任谁？

XenSource的拥有者思杰公司虽然没有类似VMsafe的计划，但其虚拟机管理程序Xen包含的安全特性来自IBM公司在虚拟化领域的丰富经验。IBM研究中心开发出了sHype虚拟机管理程序安全掩盖（security cloaking）技术，后来捐给了Xen开源项目；sHype计划集成到Xen和思杰的产品中。

配备sHype的虚拟机管理程序知道哪些虚拟机值得信任从而可以与其他虚拟机共享数据、哪些虚拟机不值得信任。sHype可监控虚拟机的组件、把它们正确配置的"独特指纹"记录下来，然后观察有无任何变化。只要配置保持一样，它就是值得信任的资源。