虛擬化和云計算都是時下最熱門的話題，后者需要依賴于前者。我們可以使用客戶端和服務器虛擬化技術(shù)來搭建虛擬化環(huán)境，以此減小數(shù)據(jù)中心和客戶端規(guī)模，也可以整合客戶端和服務器來降低能耗需求，還可以從多個物理機器將服務器移至虛擬化環(huán)境上以解決機架空間問題。虛擬化是成功的，因為虛擬化幫助我們解決了很多問題。

然而，還有一個方面是虛擬化沒有解決的，那就是安全問題。虛擬化技術(shù)本身并不是安全技術(shù)。事實上，虛擬化的安全問題能夠反映出物理環(huán)境的安全問題。安全問題在虛擬化環(huán)境中變得越來越重要，因為安全問題將對虛擬化環(huán)境造成很嚴重影響。

正因如此，我們需要認真考慮虛擬化環(huán)境核心安全概念以及相關部署問題。在所有網(wǎng)絡(尤其是虛擬客戶端和服務器網(wǎng)絡)中都適用的一個重要概念就是：安全分區(qū)。安全區(qū)集合了承擔著共同安全風險或者安全威脅的資源，有幾種方法可以歸納安全區(qū)的特點：

相同安全區(qū)的所有成員都承擔著共同的安全風險

相同安全區(qū)的所有成員對于企業(yè)有著相似的價值，高價值資產(chǎn)不可能與低價值資產(chǎn)位于同一安全區(qū)

面向互聯(lián)網(wǎng)的主機通常與面向非互聯(lián)網(wǎng)的主機位于不同安全區(qū)

一個安全區(qū)受到破壞并不會影響其他安全區(qū)，受破壞的安全區(qū)應該是隔離的，不會對其他區(qū)造成任何影響

安全區(qū)必須通過物理或者邏輯方式進行分割，必須使用訪問控制設備或者軟件來控制用戶對不同安全區(qū)的訪問權(quán)?？梢允褂梅阑饓韯?chuàng)建物理分割，或者使用先進軟件方式(如Ipsec)來創(chuàng)建虛擬網(wǎng)絡分割。

在虛擬化環(huán)境和物理環(huán)境中都應該進行安全分區(qū)和安全分割，例如可以將安全區(qū)按照以下三種簡單分區(qū)進行分割：

互聯(lián)網(wǎng)邊緣安全區(qū)

客戶端系統(tǒng)安全區(qū)

網(wǎng)絡服務安全區(qū)

下圖顯示的是一個簡單的服務器整合，主要側(cè)重于虛擬化項目。這個結(jié)構(gòu)中有一個虛擬服務器，該虛擬服務器控制著防火墻、域控制器、郵件服務器以及文件服務器。這些虛擬機都連接到相同的物理網(wǎng)絡中(就像客戶端系統(tǒng)一樣)。

這其實是一個很糟糕的安全模式，原因如下：

面向互聯(lián)網(wǎng)的虛擬機與網(wǎng)絡服務虛擬機位于同一個虛擬服務器上，互聯(lián)網(wǎng)防火墻虛擬機出現(xiàn)問題時，將會對網(wǎng)絡服務機器造成負面影響，而網(wǎng)絡服務器屬于不同安全區(qū)。

客戶端系統(tǒng)與網(wǎng)絡服務虛擬機位于相同的物理網(wǎng)絡，客戶端系統(tǒng)出現(xiàn)問題時，將會對虛擬化環(huán)境造成不良影響?？蛻舳讼到y(tǒng)應該與網(wǎng)絡服務虛擬機進行分割，放置在不同的安全區(qū)。

這是一個簡單服務器整合項目的常見設計，從安全觀點來看，這是個很糟糕的設計。讓我們看看可以怎樣改善這種狀況：

下圖展示的是比圖1更好的虛擬化環(huán)境安全配置，在這個設計中，添加了第二臺虛擬服務器。***臺虛擬服務器只控制邊緣安全設備，這能有效分割面向互聯(lián)網(wǎng)的防火墻與面向非互聯(lián)網(wǎng)的主機，從而成功地將防火墻安全區(qū)從網(wǎng)絡服務安全區(qū)中分割出來。不管虛擬防火墻還是在虛擬服務器上運行的防火墻受到破壞，位于第二臺虛擬服務器上的虛擬機器都不會受到太大負面影響。

第二臺虛擬機僅控制著屬于網(wǎng)絡服務安全區(qū)的虛擬機，不過，客戶端系統(tǒng)仍然與網(wǎng)絡服務虛擬機位于相同物理網(wǎng)絡中。這不是一個***配置方式，因為如果客戶端系統(tǒng)安全區(qū)發(fā)生故障，這些安全區(qū)之間沒有訪問控制或者安全設備可以限制故障造成的潛在影響。

雖然這種虛擬化環(huán)境的安全設計優(yōu)于***種設計，不過還是有很多地方可以進行改善的，以創(chuàng)造更安全的配置。

【編輯推薦】

1. HP-UX 六大虛擬化技術(shù)之“分區(qū)”
2. 教程：虛擬化與分區(qū)的本質(zhì)區(qū)別是什么
3. 解決無法安裝VMWARE Tools的問題