當前，很多企業紛紛減少IT預算中資本支出的部分，轉而把更多的IT消費和預算側重于戰略性的技術上，比如數據保護。同時，這些企業也更加關注虛擬化在下一代的數據中心中所能夠扮演的重要角色，即節約硬件采購成本并壓縮空間，并延長數據中心的生命周期。在此過程中，調整企業的安全戰略以充分發揮虛擬化的優勢成為企業不可回避的一個問題。

x86虛擬化平臺實現于軟件，它與其他軟件一樣，不可能完全沒有安全漏洞。VMware、Xen（現在的名稱為Citrix）和微軟等大型虛擬化平臺軟件廠商均已在最近幾年內找到各自平臺的漏洞，但只要按時打補丁和升級，主機幾乎不會受到攻擊。ESX等系統管理程序已經過加拿大通信安全部（CSEC）通用標準評估和認證評估與認證方案（CCS）驗證，獲得了EAL4+級通用標準認證。EAL4+級是在全球范圍內受到《通用標準重組協議（CCRA）》的所有簽署方最高安全級別的認可。那么，當前虛擬機的安全問題具體表現在哪些方面？產生原因何在？又有哪些有效而可行的解決方案能助企業一臂之力？

虛擬機安全問題及應對之道

(一) 主機/平臺安全性
虛擬監控系統（VMM）和虛擬機與物理網絡連接的虛擬主機平臺在可用配置選項類型方面存在很大差異，這主要取決于系統架構。例如，VMware的ESX虛擬主機服務器平臺與Red Hat Linux之間存在著許多相似性。此類系統的穩固性大都能夠得到增強，客戶可以按照“最佳實踐”配置準則來提高系統安全性，其中包括設置文件訪問條件、管理用戶與用戶組、設置日志與時間同步參數。您也可以從The Center for Internet Security（CIS）、NSA和DISA等虛擬化平臺廠商處獲得許多免費的配置指南。除此之外，瘦身的Hypervisor，如VMware的ESXi僅占用32 MB空間， 有助于可以確保系統更安全、漏洞更少以及補丁次數更少。

(二) 安全通信
如果無法確保主機系統與臺式機或VMware vCenter等管理基礎設施組件之間的安全通信，那么竊聽、數據泄露和中間人攻擊等情況便會成為企業安全的嚴重威脅。如今，大多數知名平臺都支持通過SSH、SSL和IPSec展開必要通信，它們會啟用這全部三種通信方式或其中的一種。

(三) 虛擬機之間的安全性
虛擬化企業面臨的最大安全問題之一是虛擬機間流量的不透明性。主機平臺內存在一個能與每臺虛擬機連接的虛擬交換機——實際上，主機的物理NIC被抽象成為了交換結構。許多企事業機構早已部署了網絡監控與入侵檢測解決方案，來提高流量透明度和安全性，便于在出現重大網絡問題的第一時間收到預警。隨著虛擬交換機的引入，主機上的所有虛擬機之間的流量會全部包含在主機的虛擬交換組件內，從而會嚴重損害透明度和安全性。幸運的是，大多數企業級虛擬化解決方案都內建有傳統第2層交換控制特性，因而您可以在虛擬交換機上創建鏡像端口來監控流量。

(四) 主機與虛擬機之間的安全性
“虛擬機逃逸 (VM Escape)”（惡意代碼“突圍” 虛擬機，在提供支持的虛擬主機上運行）一直以來都是信息安全性社區的熱點討論話題，而且已有種種跡象表明存在發生這種逃逸的可能性。事實上，已有事件能夠證實存在此類攻擊行為。為避免遭受此類攻擊，用戶可以下載廠商提供的補丁，但目前最安全的方法是關閉不需要的服務來抵御虛擬機逃逸及其它與虛擬機與主機之間的互動相關的攻擊。

(五) 虛擬機泛濫
虛擬機泛濫 (VM Sprawl) 是指虛擬環境中的虛擬機數量出現不受控制的劇烈增長。這可能會導致退役的虛擬機沒有從生產虛擬磁盤文件系統卷被刪除。隨著時間的流逝，虛擬機泛濫所帶來的風險會越來越大：處于睡眠狀態的虛擬機將丟失補丁或配置發生更多變化；如果此類虛擬機不符合要求，虛擬機重新與生產中的主機進行連接，則可能會影響到該虛擬機或其它虛擬機的安全運行產生隱患。 為解決虛擬機泛濫及隨之引起的安全問題，應設定虛擬機創建限制條件，部署正規流程，設置記錄功能，改變控制策略和流程，并制定用于每臺虛擬機創建和更換的授權、測試、通信和恢復要求和機制。

(六) 安全人員、服務器配置流程和虛擬化技術的脫節
許多系統管理員缺乏有效保護虛擬環境的專業知識。虛擬化模糊IT人員的角色與職責。例如，一名存儲管理員很容易在虛擬機泛濫安裝不知情的情況下導致后端存儲吞吐量出現瓶頸。虛擬化正在改變傳統的服務器配置流程，我們需要建立一個全新的框架來避免發生虛擬機泛濫問題，進而解決隱藏的安全問題。有許多早期部署的虛擬基礎設施沒有采納最佳實踐基礎設施架構的部署。我們應該避免“為虛擬化而虛擬化”的思維定式，將注意力放在“人員、流程和技術”的無縫整合上去創造一個迎合高效企業基礎架構平臺。高安全性的基礎架構是來自于強有力的執法和嚴格的執行。

戴爾為虛擬機安全保駕護航

(一) 虛擬化設計就緒
戴爾通過流程引導項目相關人員來識別要求和限制，以創建適合不同企業的設計。可以利用戴爾的參考體系結構和現場經驗。考慮所有受到影響的最終用戶組安全策略、應用程序以及基礎架構維護計劃，避免實施過程中出現問題。

(二) 虛擬化運營就緒評估
通過此項服務可對當前的虛擬服務器運營流程進行評估，確定其與就緒狀態之間所存在的差異，以及提供改進建議。它涉及架構安全性選項、管理職責分離、離線虛擬機保護/更新和虛擬機審查等安全領域。

(三) 虛擬化健康檢查
使用《狀態檢查報告卡》來審計和分析當前虛擬化環境和業務目標, 將發現的結果和建議記錄到狀態檢查報告中, 標識最重要的問題并確定后續步驟。

戴爾安全案例：
戴爾PowerEdge系列服務器配備有嵌入式的Hypervisor，如僅占用32 MB空間的VMware ESXi Edition。這項占地空間更小的Hypervisor可以確保系統更安全、漏洞更少以及補丁次數更少。

另外，在戴爾的EqualLogic存儲方面，每個存儲資源（LUNS）都有它自身的ACL（access control list, 訪問控制列表），所以，即使發生了前端非法入侵，所有數據在后臺也是100%安全的。與傳統用于保護訪問的網絡分區（networking zoning）方式相比，這是一個很大的增強特性。vMotion/Live Migration將使區塊變得過大，從而使更多服務器得以訪問數據存儲，造成額外的安全漏洞。為了能自由地將虛擬機從一臺物理機轉移到另一臺上，虛擬機必須保證所有的物理服務器都包括在了FC-SAN網絡區塊中，否則，當虛擬機抵達新的物理機時，將不再有訪問存儲的權限。與每個FC-SAN中總是希望控制非常有限的服務器的傳統方法不同，在虛擬化的執行過程中，FC-SAN管理員將不得不把更多服務器納入網絡區塊，使得出現錯誤的幾率大增，有時甚至會包括一些不必要的服務器，且沒有合適的LUN保護，結果造成服務器錯誤執行并占用并不支持的存儲資源。

有人說，企業在部署并實施虛擬化戰略時，安全是首當其沖的最重要問題。所謂“知其然，更知其所以然”，將可能產生安全問題的隱患條分縷析，進而制定并貫徹適合企業自身特點的安全策略，“虛擬化”就能真正從“流行”升華為“效益”，助力企業的長期可持續發展。