技術(shù)的創(chuàng)新能夠讓企業(yè)在短時(shí)間內(nèi)占領(lǐng)絕對(duì)的市場(chǎng)，并在一段時(shí)間內(nèi)保持絕對(duì)的競(jìng)爭(zhēng)力。但是隨著技術(shù)的不斷成熟，企業(yè)必然要面臨來自各方面的競(jìng)爭(zhēng)和壓力。這樣的例子屢見不鮮，比如電子商務(wù)，最早做電子商務(wù)的企業(yè)，在經(jīng)過一開始的艱苦創(chuàng)業(yè)以后，成為了最受人歡迎的網(wǎng)絡(luò)企業(yè)，但是隨著電子商務(wù)理論的不斷成熟和完善，越來越多的企業(yè)開始投身這個(gè)行業(yè)，行業(yè)的競(jìng)爭(zhēng)力變得空前巨大，眾多企業(yè)舉步維艱。

做為我們?cè)贫撕蛿?shù)據(jù)中心解決方案的一部分，DeepSecurity提供無代理的虛擬安全設(shè)備，可以直接在VMware環(huán)境內(nèi)的實(shí)體主機(jī)上運(yùn)作。這種創(chuàng)新做法可以提供虛擬數(shù)據(jù)中心和虛擬機(jī)完整的安全性，而無需在每臺(tái)機(jī)器上安裝軟件。使用趨勢(shì)科技和VMware共同開發(fā)的API，DeepSecurity對(duì)于虛擬機(jī)管理程序和實(shí)體機(jī)器上虛擬機(jī)間的流量都有完整的能見度。

DeepSecurity整合vCloudDirector提供跨數(shù)據(jù)中心和基于云端虛擬機(jī)的統(tǒng)一管理和共同安全政策。政策可以自動(dòng)地應(yīng)用到任何新的虛擬或云端部署上，可以顯著地降低管理問題，只要一個(gè)控制臺(tái)就能夠管理所有環(huán)境。

隨著越來越多網(wǎng)頁應(yīng)用程序已經(jīng)成為了業(yè)務(wù)關(guān)鍵，停機(jī)或應(yīng)用程序被入侵意味著可能數(shù)百萬美元的損失或?qū)ζ放坡曌u(yù)的嚴(yán)重?fù)p害。你需要確保你安全解決方案和你部署到云端和虛擬環(huán)境的應(yīng)用程序類型相配合。做為我們?cè)贫撕蛿?shù)據(jù)中心解決方案的一部分，趨勢(shì)科技提供網(wǎng)頁應(yīng)用程序和平臺(tái)層級(jí)上的偵測(cè)和防護(hù)能力給你所有的業(yè)務(wù)關(guān)鍵應(yīng)用程序。

Vmware和Citrix在不斷變化的背景之下，始終堅(jiān)持創(chuàng)新，這就是為了應(yīng)對(duì)上面的問題。但是隨著其產(chǎn)品體系的不斷擴(kuò)大，創(chuàng)新的速度越來越慢，大多數(shù)的產(chǎn)品都是在原有技術(shù)的基礎(chǔ)上進(jìn)行的改進(jìn)和完善，并沒有進(jìn)行較大的創(chuàng)新和改進(jìn)。比如在數(shù)據(jù)安全方案上沒有隨著時(shí)代變化進(jìn)行相應(yīng)的調(diào)整，而是在原有基礎(chǔ)上加入了云計(jì)算和云防護(hù)的元素，這樣不但沒有能夠徹底解決問題，還造成了極大的負(fù)面影響，使得企業(yè)的創(chuàng)新和改革陷入了陳舊思維的桎梏之中。這在無形中給了其他企業(yè)機(jī)會(huì)，尤其是隨著云計(jì)算時(shí)代的來臨，讓虛擬化的門檻越來越低，這樣大量涌入的企業(yè)，開始一步步吞食他們的市場(chǎng)。

虛擬桌面的使用者就是一種參與者，而開發(fā)虛擬桌面應(yīng)用的開發(fā)商也是參與者，他們?cè)谔摂M化平臺(tái)上構(gòu)建了一個(gè)完整的體系。這其中還包括了次級(jí)的參與者和管理者，他們成為最終決定虛擬化走向的人群。管理者就是這個(gè)平臺(tái)的管理者，他們具有絕對(duì)的權(quán)限和管理高度，完成對(duì)整個(gè)平臺(tái)的搭建和管理。這個(gè)體系延續(xù)了很久，但是現(xiàn)在卻有所改變了。其中最關(guān)鍵的因素，就是虛擬化的平臺(tái)開始舍棄人的絕對(duì)管理和使用權(quán)利，加入理論智能使用和管理的因素。

怎樣通過絕對(duì)理智的只能來監(jiān)控虛擬化的進(jìn)程成為現(xiàn)在的重要課題。在泰然神州的新一代數(shù)據(jù)安全堡機(jī)中，我們看到了智能的身影。第一點(diǎn)就是為了保障數(shù)據(jù)安全，泰然神州使用了智能的審核程序。這種程序?qū)τ谖覀儊碚f并不陌生，在注冊(cè)表中經(jīng)常用到的判斷語句，就是這種智能的初步體現(xiàn)。通過構(gòu)建標(biāo)準(zhǔn)的數(shù)據(jù)表，確定判斷詞，完善判斷邏輯，就能夠?qū)崿F(xiàn)初步的審核智能。在泰然神州的數(shù)據(jù)安全解決方案中這種智能被廣泛的應(yīng)用，從而替代了大量的人工審核步驟，完成了初步的智能替代人的元素。隨著這種智能的不斷開發(fā)，就能夠逐漸的減少人的元素造成的影響，從而實(shí)現(xiàn)絕對(duì)的理智。但是單純的審核是不夠的，還需要更加智能的邏輯。邏輯智能就是通過智能化的邏輯關(guān)系來管理人的元素。這種智能與傳統(tǒng)的管理系統(tǒng)不同，他更加的完善和靈活。這種智能的應(yīng)用，就是給所有的人的元素設(shè)定理論一個(gè)關(guān)系的桎梏，讓所有的人的元素都遵循固定的邏輯進(jìn)行工作。

虛擬化的發(fā)展方向是朝著高度智能發(fā)展的，這要求進(jìn)行大量的嘗試和創(chuàng)新來完成這一發(fā)展要求。眾多的案例讓我們看到了虛擬技術(shù)對(duì)于智能的要求，這讓我們不得不拿出足夠的資金和精力來進(jìn)行相關(guān)的研究開發(fā)。在此基礎(chǔ)上，轉(zhuǎn)變傳統(tǒng)的虛擬化觀念，重新調(diào)整模型和思路，讓開發(fā)的產(chǎn)品更加符合現(xiàn)在的社會(huì)要求，通過不斷進(jìn)行創(chuàng)新和研發(fā)來應(yīng)對(duì)日益變化的市場(chǎng)。

虛擬化帶來所有以客居方式運(yùn)行操作系統(tǒng)的安全問題，以及虛擬化特有的安全威脅。虛擬化是基礎(chǔ)設(shè)施即服務(wù)(IaaS)云和私有云中的關(guān)鍵因素之一，而且越來越多地被應(yīng)用在平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)提供商的后臺(tái)中。虛擬化也是由公有云或私有云交付的虛擬桌面的一項(xiàng)關(guān)鍵技術(shù)。

虛擬化對(duì)網(wǎng)絡(luò)安全帶來巨大的威脅，虛擬機(jī)間可能通過硬件背板而不是網(wǎng)絡(luò)進(jìn)行通訊，因此這些通訊流量對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的，無法對(duì)它們進(jìn)行監(jiān)控或內(nèi)嵌封堵。內(nèi)嵌虛擬設(shè)備可以解決這個(gè)問題;另一個(gè)解決途徑是硬件輔助虛擬化(Hardware Assisted Virtualization)，它需要與Hypervisor和虛擬化管理框架進(jìn)行API級(jí)別的整合。虛擬機(jī)的遷移也是令人擔(dān)心的地方。一個(gè)可能的攻擊場(chǎng)景是一個(gè)可疑的虛擬機(jī)遷移進(jìn)信任區(qū)域，在傳統(tǒng)以網(wǎng)絡(luò)為基礎(chǔ)的安全控制措施下，將無法檢測(cè)到它的不當(dāng)行為。在每個(gè)虛擬機(jī)上安裝全套的安全工具，是加添保護(hù)層的另一途徑。

虛擬化服務(wù)器上的共享環(huán)境導(dǎo)致了資源競(jìng)爭(zhēng)。特別是在虛擬桌面或高密度環(huán)境中，安全軟件需具備虛擬環(huán)境識(shí)別能力，或者它需要能夠在一臺(tái)虛擬機(jī)上執(zhí)行安全功能來支持其他虛擬機(jī)。在典型的企業(yè)中，虛擬機(jī)可提供的便捷性導(dǎo)致虛擬機(jī)需求的增加。這產(chǎn)生了更大的攻擊面，錯(cuò)誤配置或操作失誤導(dǎo)致安全漏洞的幾率也隨之上升。實(shí)施基于策略的管理和虛擬化管理架構(gòu)的使用是必需的。

最佳實(shí)踐包括基于網(wǎng)絡(luò)的安全控制和“虛擬補(bǔ)丁”，他們?cè)诰W(wǎng)絡(luò)流量到達(dá)新部署或新啟動(dòng)的虛擬機(jī)前，對(duì)已知攻擊行為進(jìn)行檢查。也可能采取類似網(wǎng)絡(luò)訪問控制(NAC)的措施，以隔離尚未更新的虛擬機(jī)，直至規(guī)則和模式庫更新到最新并執(zhí)行完成掃描任務(wù)。

虛擬機(jī)鏡像無論在靜止還是運(yùn)行狀態(tài)都有被竊取或篡改脆弱漏洞。對(duì)應(yīng)的解決方案是在任何時(shí)候?qū)μ摂M機(jī)鏡像進(jìn)行加密，但這又會(huì)導(dǎo)致性能問題。在安全性要求高或有法規(guī)要求的環(huán)境下，(加密的)性能成本是值得的。加密必須與管理性措施、數(shù)據(jù)泄露保護(hù)(DLP)和審計(jì)蹤跡配合以防止運(yùn)行中虛擬機(jī)的快照(Snapshot)泄露，從而給攻擊者獲取快照中數(shù)據(jù)的機(jī)會(huì)。

另一個(gè)問題是不同等級(jí)的數(shù)據(jù)(或虛擬機(jī)儲(chǔ)存著不同等級(jí)的數(shù)據(jù))可能交錯(cuò)混雜在同一臺(tái)物理機(jī)器中。在PCI(這里指PCI-DSS，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))條款中，我們稱之為混合實(shí)施模式。我建議組合使用虛擬局域網(wǎng)、防火墻、入侵檢測(cè)/入侵防護(hù)系統(tǒng)(IDS/IPS)來保證虛擬機(jī)隔離以支持混合實(shí)施模式。我還推薦使用數(shù)據(jù)分類和基于策略的管理(例如，DLP數(shù)據(jù)泄露保護(hù))來預(yù)防數(shù)據(jù)混雜。當(dāng)虛擬機(jī)從一個(gè)物理服務(wù)器間遷移至另一物理服務(wù)器時(shí)，企業(yè)需要確保沒有任何一個(gè)比特?cái)?shù)據(jù)遺留在磁盤上，有關(guān)數(shù)據(jù)可能被其他用戶恢復(fù)或當(dāng)磁盤被回收時(shí)恢復(fù)。對(duì)內(nèi)存/存儲(chǔ)清零或者對(duì)全部數(shù)據(jù)加密是此問題的解決方案。加密密鑰應(yīng)當(dāng)存儲(chǔ)在虛擬環(huán)境以外的一個(gè)基于策略的密鑰服務(wù)器上。此外，如果沒有使用加密或恰當(dāng)?shù)臄?shù)據(jù)擦洗，虛擬機(jī)在運(yùn)行的狀態(tài)下遷移，自身可能面臨風(fēng)險(xiǎn)。

虛擬機(jī)可以從一個(gè)物理服務(wù)器遷移到另外一個(gè)物理服務(wù)器的獨(dú)特能力為審計(jì)和安全監(jiān)測(cè)增加了復(fù)雜度。在很多情下，虛擬機(jī)可以在不產(chǎn)生告警或者審計(jì)跟蹤的情況下被重新安置于另一個(gè)物理服務(wù)器(與地理位置無關(guān))。