現(xiàn)在，越來(lái)越多的企業(yè)正部署桌面和服務(wù)器虛擬化技術(shù)，將各種機(jī)架、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源全部融合到資源池中。而未來(lái)的發(fā)展趨勢(shì)也是朝向“越小巧性能越強(qiáng)大，能耗更低，簡(jiǎn)單易用”發(fā)展。

　　然而，隨著企業(yè)更多的從物理平臺(tái)轉(zhuǎn)向虛擬化，云服務(wù)的創(chuàng)建和部署也越來(lái)越方便，安全就成了一個(gè)頭等重要的問(wèn)題。那么，在云環(huán)境下，如何有效地保護(hù)虛擬系統(tǒng)呢？下面，我們?yōu)榇蠹姨峁┮韵率蠹记桑?/p>

一、傳統(tǒng)安全控制仍可用

　　在過(guò)渡到虛擬環(huán)境過(guò)程中，我們?nèi)圆荒芡浤承﹤鹘y(tǒng)的安全手段。比如病毒防護(hù)工具、防火墻、入侵檢測(cè)等等，它們?cè)诜?wù)器和虛擬主機(jī)上仍有大展身手的舞臺(tái)。值得一提的是，這些安全工具在進(jìn)行重大安全升級(jí)的時(shí)候，有可能會(huì)導(dǎo)致意外的服務(wù)中斷。

　　二、保護(hù)Hypervisor

　　在虛擬環(huán)境的頂層提供了訪問(wèn)入口。虛擬安全控制可幫助阻止未經(jīng)授權(quán)對(duì)Hypervisor的更改和干預(yù)。

　　三、創(chuàng)建虛擬安全政策

　　通常物理環(huán)境下我們都有一個(gè)安全政策，但在虛擬環(huán)境下，我們也同樣需要有這種安全政策。它們之間有很多可以并用，但還有很多方面是與物理環(huán)境下的安全政策是不同的。

　　四、部門(mén)之間協(xié)作

　　虛擬化一般都會(huì)涉及到整個(gè)企業(yè)各個(gè)部門(mén)，因此也容易出現(xiàn)安全意外。需要確保在出現(xiàn)沖突和安全意外的時(shí)候，能保持溝通暢通對(duì)公司內(nèi)各部門(mén)開(kāi)放。

　　五、創(chuàng)建虛擬端點(diǎn)安全

　　傳統(tǒng)防火墻、入侵防范監(jiān)測(cè)系統(tǒng)在虛擬環(huán)境和移植到云架構(gòu)中，都能發(fā)揮不少作用。虛擬防火墻和IPS在某些關(guān)鍵架構(gòu)點(diǎn)上需要進(jìn)行部署。同樣，也不能忽略監(jiān)視和跟蹤企業(yè)整合安全信息和事件管理系統(tǒng)。

　　六、批量管理

　　云端會(huì)有很多相同或者類似的問(wèn)題，虛擬環(huán)境需要能根據(jù)系統(tǒng)和數(shù)據(jù)的臨界值來(lái)批量管理。

　　七、沿用管理者特權(quán)

　　基于角色的訪問(wèn)控制在虛擬環(huán)境中能大有可為?？筛鶕?jù)優(yōu)先規(guī)則繼續(xù)采用管理訪問(wèn)權(quán)限設(shè)定。

　　八、部署虛擬辯論術(shù)和深度防御

　　每個(gè)系統(tǒng)、虛擬環(huán)境中都會(huì)出現(xiàn)問(wèn)題。在虛擬系統(tǒng)中部署辯論術(shù)登陸和分析，以更加可視化效果來(lái)增加對(duì)每個(gè)虛擬化設(shè)備的深度防御。

　　九、投入更多精力進(jìn)行培訓(xùn)

　　虛擬安全的培訓(xùn)不同于物理世界的安全培訓(xùn)。幾乎所有傳統(tǒng)工具的部署、管理在虛擬環(huán)境下都會(huì)不同。編制預(yù)算并為團(tuán)隊(duì)的培訓(xùn)制定計(jì)劃。

　　十、注意合規(guī)性問(wèn)題

　　相比物理環(huán)境，虛擬環(huán)境會(huì)被人以更加懷疑的態(tài)度來(lái)審視。因此，有必要提供更深度安全檢測(cè)和管理虛擬系統(tǒng)，使得不斷貼近安全合規(guī)性要求。