鎖定hypervisor

　　考慮到安全挑戰(zhàn)問(wèn)題，hypervisor也需要重新理解了。“如果您查閱VMware強(qiáng)化指南，有很多可行的鎖定hypervisor方式，可借鑒的途徑也很多——通過(guò)補(bǔ)丁管理方案和配置平臺(tái)，”Shackleford說(shuō)。

　　VMware還提供了“主機(jī)配置文件”，作為hypervisor的模板。管理員可以使用該黃金模板作為其它安裝的標(biāo)準(zhǔn)，以簡(jiǎn)化管理。

　　微軟的Hyper-V只有一兩個(gè)小的缺陷，根據(jù)Shackleford的描述，“您可以通過(guò)微軟的SCVMM(System Center Virtual Machine Manager)平臺(tái)對(duì)所有組件進(jìn)行有效地管理，而且內(nèi)置了很多自動(dòng)化功能，”他說(shuō)。

　　微軟和Citrix缺乏的是關(guān)于如何鎖定hypervisor的內(nèi)容，Shackleford說(shuō)。現(xiàn)在很少有針對(duì)這些系統(tǒng)的強(qiáng)化指南。

　　根據(jù)虛擬網(wǎng)絡(luò)的變化調(diào)整安全性

　　由于SDN(software-defined networking)領(lǐng)域的發(fā)展，虛擬網(wǎng)絡(luò)領(lǐng)域已經(jīng)在改變，這意味著在私有云中可以采取完全基于軟件的網(wǎng)絡(luò)控制系統(tǒng)。這樣“消除了硬件限制和feeds-and-speeds的簡(jiǎn)單管理方式，”Shackleford說(shuō)道。

　　現(xiàn)在的防火墻和安全平臺(tái)都對(duì)保障虛擬環(huán)境的安全需求問(wèn)題進(jìn)行了特別的關(guān)注。例如，VMware的vSphield App，跟VMware kernel融為一體并提供了擴(kuò)展應(yīng)用過(guò)濾。同時(shí)，VMware還有vShield Edge用于防火墻和分布式虛擬交換機(jī)用于端口鏡像和流量監(jiān)控，而且思科的企業(yè)級(jí)Nexus 1000v可以跟VMware集成，對(duì)Hyper-V的支持還在測(cè)試階段。

　　“虛擬交換機(jī)正在模仿傳統(tǒng)企業(yè)級(jí)交換機(jī)具備的功能，”Shackleford說(shuō)。

　　移動(dòng)性和虛擬化安全障礙

　　除了傳統(tǒng)的數(shù)據(jù)中心關(guān)注點(diǎn)之外，專(zhuān)家認(rèn)為還有一些跟移動(dòng)設(shè)備相關(guān)的虛擬化安全挑戰(zhàn)。

　　Xchanging公司解決方案高級(jí)總監(jiān)Brian Rapp認(rèn)為，以虛擬化為例，無(wú)論從桌面還是應(yīng)用層都可以通過(guò)阻止最終用戶(hù)把應(yīng)用下載到移動(dòng)設(shè)備的方式，幫助IT人員降低數(shù)據(jù)安全風(fēng)險(xiǎn)，

　　虛擬化支持IT安全部門(mén)把內(nèi)容和數(shù)據(jù)推送到最終用戶(hù)的移動(dòng)設(shè)備端，這樣避免了用戶(hù)下載應(yīng)用方式潛在的安全風(fēng)險(xiǎn)。“這樣，IT管理者在網(wǎng)絡(luò)層控制內(nèi)容，而IT系統(tǒng)也具備更為集中化的命令、控制和靈活性，”Rapp說(shuō)到。

　　提供企業(yè)級(jí)安全咨詢(xún)、審計(jì)和測(cè)試服務(wù)的Stach & Liu公司的高級(jí)安全顧問(wèn)Kevin Lawrence認(rèn)為，虛擬化可以為移動(dòng)設(shè)備安全性方面提供全新的幫助。

　　傳統(tǒng)模式“把每個(gè)終端都作為傳統(tǒng)IT設(shè)備對(duì)待”，需要對(duì)每個(gè)手機(jī)、平板或筆記本電腦提供和傳統(tǒng)臺(tái)式工作站相同級(jí)別的控制。然而Lawrence認(rèn)為，更為高效的解決方案是虛擬化所有的數(shù)據(jù)存取，“如果您的BYOD終端設(shè)備正在訪問(wèn)某臺(tái)服務(wù)器或虛擬空間進(jìn)行數(shù)據(jù)修改和存取操作，數(shù)據(jù)實(shí)際上不是存儲(chǔ)在設(shè)備上的，”他說(shuō)。各個(gè)公司根據(jù)擁有資源的不同也在采取對(duì)應(yīng)的解決方案。

　　安全軟件公司Sophos的資深安全工程師David Schwartzberg認(rèn)為，最終會(huì)出現(xiàn)dual persona雙重角色辦法。在該模式下，管理員可以設(shè)置工作端設(shè)備的安全策略。而dual persona的實(shí)現(xiàn)有很多方法，例如分離應(yīng)用和系統(tǒng)資源，或通過(guò)容器分隔用戶(hù)數(shù)據(jù)和企業(yè)數(shù)據(jù)，他解釋道。

　　“VMware的Horizon Mobile也是通過(guò)hypervisor實(shí)現(xiàn)移動(dòng)設(shè)備角色虛擬化的案例，”Schwartzberg說(shuō)道。這是虛擬化為安全服務(wù)的另一個(gè)更為高效的方法。

　　在現(xiàn)在的虛擬化世界，安全問(wèn)題面臨不斷變化的各種挑戰(zhàn)。隨著各種技術(shù)的變化，也不要忘記人為問(wèn)題的解決，Shackleford說(shuō)道。“它幫助把IT組、虛擬化組和存儲(chǔ)組人員聯(lián)系到一起來(lái)解決安全問(wèn)題。”