鎖定hypervisor

　　考慮到安全挑戰(zhàn)問題，hypervisor也需要重新理解了。“如果您查閱VMware強化指南，有很多可行的鎖定hypervisor方式，可借鑒的途徑也很多——通過補丁管理方案和配置平臺，”Shackleford說。

　　VMware還提供了“主機配置文件”，作為hypervisor的模板。管理員可以使用該黃金模板作為其它安裝的標準，以簡化管理。

　　微軟的Hyper-V只有一兩個小的缺陷，根據(jù)Shackleford的描述，“您可以通過微軟的SCVMM(System Center Virtual Machine Manager)平臺對所有組件進行有效地管理，而且內(nèi)置了很多自動化功能，”他說。

　　微軟和Citrix缺乏的是關于如何鎖定hypervisor的內(nèi)容，Shackleford說。現(xiàn)在很少有針對這些系統(tǒng)的強化指南。

　　根據(jù)虛擬網(wǎng)絡的變化調(diào)整安全性

　　由于SDN(software-defined networking)領域的發(fā)展，虛擬網(wǎng)絡領域已經(jīng)在改變，這意味著在私有云中可以采取完全基于軟件的網(wǎng)絡控制系統(tǒng)。這樣“消除了硬件限制和feeds-and-speeds的簡單管理方式，”Shackleford說道。

　　現(xiàn)在的防火墻和安全平臺都對保障虛擬環(huán)境的安全需求問題進行了特別的關注。例如，VMware的vSphield App，跟VMware kernel融為一體并提供了擴展應用過濾。同時，VMware還有vShield Edge用于防火墻和分布式虛擬交換機用于端口鏡像和流量監(jiān)控，而且思科的企業(yè)級Nexus 1000v可以跟VMware集成，對Hyper-V的支持還在測試階段。

　　“虛擬交換機正在模仿傳統(tǒng)企業(yè)級交換機具備的功能，”Shackleford說。

　　移動性和虛擬化安全障礙

　　除了傳統(tǒng)的數(shù)據(jù)中心關注點之外，專家認為還有一些跟移動設備相關的虛擬化安全挑戰(zhàn)。

　　Xchanging公司解決方案高級總監(jiān)Brian Rapp認為，以虛擬化為例，無論從桌面還是應用層都可以通過阻止最終用戶把應用下載到移動設備的方式，幫助IT人員降低數(shù)據(jù)安全風險，

　　虛擬化支持IT安全部門把內(nèi)容和數(shù)據(jù)推送到最終用戶的移動設備端，這樣避免了用戶下載應用方式潛在的安全風險。“這樣，IT管理者在網(wǎng)絡層控制內(nèi)容，而IT系統(tǒng)也具備更為集中化的命令、控制和靈活性，”Rapp說到。

　　提供企業(yè)級安全咨詢、審計和測試服務的Stach & Liu公司的高級安全顧問Kevin Lawrence認為，虛擬化可以為移動設備安全性方面提供全新的幫助。

　　傳統(tǒng)模式“把每個終端都作為傳統(tǒng)IT設備對待”，需要對每個手機、平板或筆記本電腦提供和傳統(tǒng)臺式工作站相同級別的控制。然而Lawrence認為，更為高效的解決方案是虛擬化所有的數(shù)據(jù)存取，“如果您的BYOD終端設備正在訪問某臺服務器或虛擬空間進行數(shù)據(jù)修改和存取操作，數(shù)據(jù)實際上不是存儲在設備上的，”他說。各個公司根據(jù)擁有資源的不同也在采取對應的解決方案。

　　安全軟件公司Sophos的資深安全工程師David Schwartzberg認為，最終會出現(xiàn)dual persona雙重角色辦法。在該模式下，管理員可以設置工作端設備的安全策略。而dual persona的實現(xiàn)有很多方法，例如分離應用和系統(tǒng)資源，或通過容器分隔用戶數(shù)據(jù)和企業(yè)數(shù)據(jù)，他解釋道。

　　“VMware的Horizon Mobile也是通過hypervisor實現(xiàn)移動設備角色虛擬化的案例，”Schwartzberg說道。這是虛擬化為安全服務的另一個更為高效的方法。

　　在現(xiàn)在的虛擬化世界，安全問題面臨不斷變化的各種挑戰(zhàn)。隨著各種技術的變化，也不要忘記人為問題的解決，Shackleford說道。“它幫助把IT組、虛擬化組和存儲組人員聯(lián)系到一起來解決安全問題。”