虛擬化提供了很多優勢，但是也帶來了新的安全挑戰。如果組織沒有針對虛擬化環境及時更新IT安全策略，將會錯過潛在的提高效率的機會，并且使自己處于容易被攻擊的位置。在之前的問答題集合中，就VMware安全更新問題，我和同時作為編輯及顧問的Tom Howarth進行了討論。在這個問題集中，我們將會采用一種更為寬泛的方式，討論組織應該如何在IT虛擬化環境中應用IT安全策略。

[[110748]]

你認為在虛擬化環境中最大的安全挑戰是什么?這些挑戰是否隨著時間增長而發生變化?

Tom Howarth：虛擬安全——這是一個矛盾的環，就像“軍事情報”和“中肯意見”一樣。這真的是安全問題嗎?或者只是一個無中生有的討論。

很多業內專家對于這種特殊的邏輯安全管理問題都給出了相關建議。但是，這些方式在物理環境中也同樣有效。需要注意的一點是我所說的物理環境是指安裝在裸機上，而不是指任何其他具體的東西。

所有這一切說明，我感覺虛擬環境中最大的安全挑戰并不是技術相關的部分，而是現有的安全策略，具體來說，就是用于保護這些策略并且強制執行的部分。

安全策略及其執行過程已經落后于技術的發展。大多數情況下，大多數安全專家還只是專注于物理基礎設施環境，但是其中的一些策略是和虛擬環境相對立的。比如不同安全區域間“white space”這樣的概念會迫使虛擬架構針對不同的區域建立單獨的環境，這樣會妨礙數據中心的整個進度。

現在我們擁有了技術。但是不幸的是，安全管理員和IT安全策略仍然停留在很久之前的水平。

進行常規維護和更新安全策略有多么重要?如果沒有正式的維護計劃會出現哪些問題?

Howarth：公司的安全策略應該是工作的出發點。它應該成為你的工作框架;將其做作為實驗的樣品。大多數情況下，公司的安全策略都過于死板，使其成為了一根束縛發展的繩子，而不是用于指導的原則。當嘗試引入新的技術時很容易導致一些問題，最顯而易見的就是可能與現有的策略相沖突。軟件防火墻就是很明顯的例子之一。它和硬件防火墻具有完全相同的功能，但是傳統的IT安全專家并不喜歡使用它們。安全專家會懷疑如果軟件防火墻不能提供物理隔離功能，怎么能提供和硬件防火墻同樣的防護效果。而事實是物理防火墻可以使用硬件，但是它們仍舊需要通過軟件方式來隔離流量，通過虛擬的本地區域網絡和流量控制來實現功能。更為重要的是，硬件防火墻使用的方式和軟件防火墻完全相同。

確保對環境進行日常檢查和維護更加重要。常規的周期性補丁和安全檢查比陳舊的安全策略能夠更好地保護環境安全。

組織是否需要書面的IT安全策略?應該如何來設計這種策略?

Howarth：互聯網上有很多網站都可以幫助和指導公司來制定安全策略。如果你想要了解如何制定安全策略，可以網上進行搜索，你將會發現很多相關的內容。而我所關注的是另外一個重要問題：為什么要創建安全策略?

公司是否需要書面的安全策略是一個有趣的問題。如果使用的人認為書面規定會對他們造成麻煩，他們就幾乎肯定會繞過或者忽略這些策略。拿密碼策略來說，一個簡單的字符串或者令人印象深刻的詞相比于一個最少需要8個字母的策略(必須包含數字、大寫字母和其他符號)更加安全。而一個明顯的事實是復雜的密碼會導致用戶將這些密碼記在紙上。如果擁有密碼重置策略，需要每隔一段時間就更換新的密碼，那么情況會變得更加復雜。

這樣的問題會引起安全策略需求方面的問題。所以應該怎樣準備地發現制定安全策略過程中的問題呢?首先，需要設定原則，而不是邊界。引導比強制要求更加容易。

需要記住任何安全策略中最為薄弱的一環就是人。在保證環境更加安全的前提下制定安全策略，但是不要讓他們引起問題或者麻煩，不要讓員工在使用過程中感覺困難。

需要記住得到鍵盤下面的寫著密碼的紙條，要比暴力破解容易的多。

為公司進行一次風險評估。不要只關注于邏輯保護;你同樣需要物理安全。