虛擬化管理員有可能為企業帶來最大的風險，我們必須要了解為什么IT經理和主管們會任由這一潛在的安全風險野蠻生長。

隨著虛擬化不斷進入企業，傳統的數據中心角色正在發生變化。現在，企業按崗位聘用員工，形成了獨立的數據中心硬件、網絡、存儲、操作系統支持團隊。盡管這些團隊彼此交互，但員工的角色通常不會產生交叉，因為技術領域將職責隔離開來。隨著數據中心不斷引入虛擬化，新的角色產生了。虛擬化管理員——這一新角色取代了傳統的堆架式數據中心人員，允許企業將更大的硬件整合為更小的規模。數據中心專有的硬件角色已經逐漸從現代數據中心中消失了。

多數企業中，網絡和存儲團隊仍舊存在，并在非虛擬化環境運作。現在這一狀況正在發生變化。很多年之前，VMware提出了軟件定義的數據中心，但很多人并不確定該術語意味著什么。VMware推出了第一個vSAN，將存儲轉為標準的產品，這和ESX服務器虛擬化類似，VMware的愿景變得更清晰了。VMware在2013年推出了其網絡虛擬化產品NSX，旨在從網絡硬件抽象出網絡層。除虛擬化管理員外，VMware將另兩大團隊帶入了虛擬化世界。盡管企業仍可以抵制整合并保留傳統的專業分工，但潛在的成本及管理節約卻無法忽略。這正是虛擬化管理員成為數據中心焦點并可能是企業最大風險的原因所在。

安全專家指出，最大的一些安全漏洞來自內部員工，而不是黑客。這就是為什么部門職責和訪問如此重要的原因。然而，采用軟件定義的數據中心，我們是將所有的雞蛋放在了一個籃子中。這不是號召使用隱藏攝像機對虛擬化管理員進行監控。畢竟，處于這種狀況并不是他的錯。讓我們考慮一些用于幫助解決這些安全問題的策略。

向其他團隊開放虛擬環境

技術團隊可能涇渭分明，但是在當今靈活及快節奏的軟件定義的環境中，我們要具備比以往更加綜合的技能。網絡團隊不應該簡單地停留在傳統的OSI層，而是擴展到虛擬交換機。我們不只要配置虛擬交換機還要對其負責。對虛擬化管理員來說，雖然這個想法有些激進，但網絡管理員的技能對于虛擬環境是很重要的。如果網絡管理員具備虛擬網絡的管理權限，那么虛擬網絡將不再被視為一種威脅，而且在擴展、升級時能夠更好地凝聚團隊，因為這涉及到所有人的既得利益。虛擬化環境一直是虛擬化管理員的領地，但這并不意味著他們在涉及虛擬化如網絡和存儲等所有方面都是專家。

考慮合規性軟件

Hytrust、VMware以及BeyondTrust等廠商都推出了具備審計、權限管理以及合規性功能的產品。這些軟件包能夠審計所有人，包括虛擬化管理員濫用虛擬環境的情況。企業可通過自定義策略來定義“濫用”，不僅不會限制虛擬化管理員的工作，還能保護虛擬環境。以上產品都無法避免虛擬管理員蓄意中斷業務或者破壞數據。相反，這些產品旨在通過限制訪問避免無心之過，針對無法解釋的問題提供審計功能。

設置并加強文檔策略

大多數人認為最大的威脅是惡意操作，往往忽略了更大的風險：忠誠的虛擬化管理員帶來另一個風險，員工離職可能會帶來嚴重的后果。IT人員并不是一直在勤奮地編寫文檔，他們通常喜歡先干活，等有時間再編寫。更常見的是，有經驗的管理員離職后往往會帶走這些信息，只留下一個復雜的環境。高級管理員需要花心思了解其工作原理并試圖對其提供支持。只留給管理員兩周時間，他沒有足夠的時間編寫文檔、繪制圖表、進行知識轉移以及跨團隊的培訓。該過程必須盡早啟動，提供管理支持、使用能夠建立文檔與環境映射的產品。NeverFail IT Continuity Architect是一款能夠建立虛擬化環境映射的產品，如果核心員工離職，新員工不用從頭開始。

技術豎井曾經是一個有價值的架構，不同的技能組合來管理不同類型的硬件。隨著服務器、網絡和存儲成為真正的推動數據中心發展的標準硬件和軟件產品，傳統的技術界限已經變得模糊。交叉培訓、明確所有權、審計軟件、文檔以及準確理解虛擬環境的角色都是避免虛擬管理員成為企業最大風險的有效方式。