虛擬化環(huán)境可能更便宜、擁有更低的碳排放量、快速創(chuàng)建“虛擬機”，但是沒有實實在在的邊緣，因而很難確保其安全。

　　Softtek是拉美地區(qū)主要的IT服務提供商之一，也是全球近岸行業(yè)的開創(chuàng)者。該公司的項目經理兼業(yè)務主管Leo Navarro說：“在過去的幾個月，我們與《財富》50強企業(yè)的首席信息安全官進行了多次交談;我們注意到，他們對于虛擬化環(huán)境安全的工具需求有所增加?，F在有好多企業(yè)已經部署了服務器虛擬化和桌面虛擬化的解決方案。不過，一旦這么做，它們就得為虛擬化環(huán)境重新考慮整體安全策略。”

　　Navarro預測，2012年會出現這一幕：許多公司的資金將投入到簡化更新過程的企業(yè)級反病毒套件、監(jiān)控數據流動的數據丟失預防(DLP)工具、保護對虛擬服務器和虛擬桌面訪問的雙因子驗證機制、加快用戶資源配置過程的工具以及數據加密工具。

　　跨國IT公司Unisys的TCIS產品與技術事業(yè)部副總裁Rod Sapp說：“許多分析師表示，安全是用戶采用云計算的第一大障礙，安全問題削弱了云計算的優(yōu)點。在共享基礎架構的多層環(huán)境中，許多公司經常在一個角落建立私有云，那樣它們不會面臨風險。但迫使云計算項目后退到數據中心某一角落帶來了問題，那就是你削弱了云計算的根本優(yōu)點，即提高基礎架構的利用率和成本效益。”

　　評估需要做什么工作

　　GFI軟件公司的安全研究經理Emmanuel Carabott說：“虛擬化環(huán)境中的安全可以分為兩大類：訪客操作系統的安全，這需要采取與非虛擬機環(huán)境同樣的安全方法;另一個是虛擬環(huán)境基礎架構的安全。虛擬化解決方案包含幾款可以管理主機和訪客的管理工具;針對這每一種管理工具，都需要考慮特定的安全問題。”

　　公司首先得明確自己面臨的風險有多大。

　　Carabott補充說：“從虛擬化的角度來看，幾個主要的安全問題是，個人在未經授權的情況下訪問虛擬環(huán)境管理工具，劫持虛擬機及/或隨意進出虛擬機，以及破壞企業(yè)中所用的變更管理系統。這每一個安全問題都需要從防火墻到安全掃描器的專業(yè)解決方案。”

　　企業(yè)引入了削減成本的措施，加上旨在采用更靈活的工作策略，這就更需要確保虛擬化環(huán)境的安全。Navarro說：“更多的公司可能會考慮實施‘帶來自己的設備’(BYOD)計劃，那樣他們的員工可以自行選擇工作時所用的設備。這些計劃要求公司支持各種設備正常運營，為此先要確保自己的虛擬環(huán)境安全，然后要將核心應用程序擴展到移動設備上。”

　　虛擬機帶來的挑戰(zhàn)

　　無論貴公司是不是允許員工將自己的設備連接到企業(yè)網絡，網絡專業(yè)人員都必須提防確保虛擬環(huán)境安全所帶來的挑戰(zhàn)。Carabott說：“從理論上來說，為虛擬化環(huán)境確保安全與為物理環(huán)境確保安全一樣輕松。不過實際上，情況并非總是如此，因為虛擬化環(huán)境很容易創(chuàng)建;員工在自己的機器上建立虛擬化環(huán)境，而不是要求額外的物理機或者通過適當的渠道來申請，這種事并非前所未聞。”

　　這讓網絡管理員們頗有頭痛。要是虛擬環(huán)境沒有集中控制起來，那么連最基本的安全措施落實到位都無法保證。

　　Carabott補充說：“如果某個員工不關注安全，以為即使虛擬機受到了危及或出現了崩潰，也只要恢復干凈的副本就行，情況就會變得更糟糕。遺憾的是，這種想法是有問題的，因為這個員工沒有認識到，如果虛擬機受到了危及，它就有可能成為不法分子手里的一塊跳板，得以更深入地攻擊企業(yè)的基礎架構。”

　　安全實踐

　　盡管面臨挑戰(zhàn)，但確保虛擬化環(huán)境安全是可以做到的。

　　Sapp說：“在優(yōu)利系統公司，我們使用Unisys保密解決方案，在安全的多租戶環(huán)境中，對從端點到數據中心的信息進行加密和裂位(bit-splitting)。這就排除了別人訪問你的基礎架構和數據這種可能性。”

　　優(yōu)利系統公司在政府行業(yè)證實了這項技術后，剛開始投入到商業(yè)行業(yè)。Sapp認為，現在公司企業(yè)可以采取更多的措施來確保虛擬化環(huán)境安全、對用戶友好。“我們正在將很高的安全級別與針對虛擬化環(huán)境和云計算的資源配置和自動化工具集成起來。”

　　不管確保虛擬化環(huán)境安全似乎有多困難，但是最糟糕的做法是什么都不做。每個環(huán)境都需要加強安全，無論它是不是虛擬化環(huán)境。說白了，關鍵就是為你網絡面臨的風險尋求合適的安全級別以及合適的工具。

　　原文鏈接：http://www.esecurityplanet.com/network-security/pulling-your-private-cloud-out-of-the-shadows.html