“虛擬化技術(shù)并非天生就不安全。然而，大多數(shù)虛擬化的工作負(fù)載其部署方式卻是不安全的。”Gartner公司的分析師Neil MacDonald今年早些時(shí)候在一份名為《應(yīng)對(duì)數(shù)據(jù)中心虛擬化項(xiàng)目中最常見(jiàn)的安全風(fēng)險(xiǎn)》的報(bào)告中這樣寫(xiě)道。

　　虛擬化項(xiàng)目方面的規(guī)劃應(yīng)該總是讓信息安全團(tuán)隊(duì)參與進(jìn)來(lái);但是根據(jù)Gartner的調(diào)查數(shù)據(jù)顯示，40%的虛擬化項(xiàng)目在安全團(tuán)隊(duì)沒(méi)有參與初期架構(gòu)和規(guī)劃階段的情況下就倉(cāng)促上馬了。

　　MacDonald指出，由于虛擬機(jī)管理程序統(tǒng)管在物理服務(wù)器上運(yùn)行的所有工作負(fù)載，因此某一威脅“可能導(dǎo)致在上面處理的所有工作負(fù)載受到危及。”在傳統(tǒng)架構(gòu)中，一臺(tái)服務(wù)器受到威脅只會(huì)使該服務(wù)器上的工作負(fù)載面臨險(xiǎn)境，而在虛擬化數(shù)據(jù)中心中情況就不是這樣了。

　　虛擬機(jī)管理程序本身還加大了受攻擊面(attack surface)。比如說(shuō)，VMware正在改造自己的虛擬化架構(gòu)，以便擺脫基于Linux的服務(wù)控制臺(tái)，目的就是為了將受攻擊面從約2GB縮小至100MB。

　　盡管這改善了安全性，但是客戶在安全方面仍需要引起重視。Gartner建議用戶應(yīng)該從安全和管理的角度，將虛擬化平臺(tái)視作“你數(shù)據(jù)中心中最重要的IT平臺(tái)”。

　　Gartner認(rèn)為，IT部門(mén)需要制定有關(guān)合并不同信任級(jí)別的工作負(fù)載的策略，并且在評(píng)估新的安全和管理工具時(shí)，“應(yīng)偏愛(ài)那些涵蓋物理環(huán)境和虛擬環(huán)境，使用統(tǒng)一管理、策略和報(bào)告框架的工具。”

　　報(bào)告還指出，IT部門(mén)必須關(guān)注在虛擬機(jī)管理程序?qū)影惭b的任何代碼所存在的安全漏洞，包括驅(qū)動(dòng)程序、插件和第三方工具，并且確保一切都是最新版本，并打上了補(bǔ)丁。

　　就算虛擬化層與之前的物理架構(gòu)一樣安全，但用戶往往配置更多的虛擬機(jī)意味著，你的覆蓋面更大了，“一旦你的覆蓋面擴(kuò)大，面臨的安全風(fēng)險(xiǎn)就會(huì)隨之加大。”

　　Turner正在關(guān)注幾款系統(tǒng)管理工具，比如Cfengine、Puppet Labs和Chef，目的是為了使驗(yàn)證補(bǔ)丁、刪除過(guò)期用戶帳戶等過(guò)程實(shí)現(xiàn)自動(dòng)化，并且確保配置文件沒(méi)有遭到篡改。

　　在服務(wù)器進(jìn)行虛擬化之后，即使像運(yùn)行反病毒軟件這類(lèi)相對(duì)簡(jiǎn)單的任務(wù)也可能變得更復(fù)雜。Harper指出，他的員工不得不手工修改每周掃瞄Windows Server實(shí)例的時(shí)間，因?yàn)橐遣贿@么做，這些掃瞄就會(huì)同時(shí)執(zhí)行，從而導(dǎo)致輸入/輸出負(fù)載過(guò)大。

　　Harper表示，客戶們需要結(jié)合新的產(chǎn)品和流程，才能防止虛擬化帶來(lái)麻煩，因?yàn)榘烟摂M機(jī)當(dāng)作物理裸機(jī)那樣來(lái)管理根本行不通。

　　不過(guò)，Harper和Sabre公司的高級(jí)IT專(zhuān)家Jim Brewster對(duì)虛擬世界的安全性持樂(lè)觀態(tài)度。Brewster表示，對(duì)安全區(qū)實(shí)行物理隔離正在讓位于基于軟件的安全區(qū);而且有了虛擬化管理工具，胡作非為的IT管理員就很難在其操作不被日志記錄的情況下篡改系統(tǒng)。

　　微軟和VMware為多少進(jìn)程應(yīng)留在操作系統(tǒng)中、多少進(jìn)程應(yīng)推向虛擬機(jī)管理程序?qū)訝?zhēng)辯不休。但是Brewster盼望著安全功能進(jìn)入到虛擬機(jī)管理程序。

　　Brewster說(shuō)：“我認(rèn)為，到時(shí)你可以更清楚地了解、更有效地控制出現(xiàn)的情況，摸清虛擬機(jī)里面誰(shuí)在和誰(shuí)聯(lián)系的情況。