跨平台虚拟安全提高服务器虚拟化价值

尽管服务器虚拟化可以提高运作效率和管理灵活性、降低总拥有成本，但同时它也会提高安全风险。

据市场调查公司Gartner称，到2009年60%的虚拟机要比物理服务器安全性更低。我们将面临的安全挑战包括：

·IP地址依赖性：在一个虚拟化环境中，IP地址通常会在虚拟机创建、淘汰或者从一台主机迁移到另一台主机的过程中发生改变，这就导致了传统保护机制暴露出一些问题。

·虚拟机蔓延：虚拟机很容易从已经存在的镜像中创建，这往往会引入大量没有适当维护或者基于那些已经存在一些漏洞的虚拟机。如果入侵者能够成功攻击一个有漏洞的虚拟机，那么他就可以以此作为平台继续入侵其他虚拟机。

·无法监控内部主机传输：服务器虚拟化引入了一种“软交换”的理念，让虚拟机可以在一台主机内进行通信。这就需要专门的工具来监控和保护这些通信，而且用户可选择的技术和工具也是非常有限的。

·安全策略的混乱：遗憾的是，许多安全厂商使用了一种混乱的安全策略，推荐有不同管理要求的解决方案。Gartner分析师Neil MacDonald在最近一次采访中表示：“虚拟化环境中最大的安全问题可能会通过错误管理、错误运行或者长期存在的错误引入近来。我们在物理环境中使用不同的工具，而在虚拟环境下则把存在的问题都集中到一起了。”

既然我们必须解决这些挑战来利用服务器虚拟化的诸多好处，那么我们就需要一个全新的方法，一种可以确保物理环境和虚拟环境安全性的跨平台解决方案。跨平台虚拟安全工具可以帮助企业机构在数据中心动态地制订安全策略。

跨平台虚拟安全工具的管理平台应该可以在网络中的任何位置进行配置，应该提供认证授权来实现最大程度的灵活性。这些跨平台虚拟安全工具通常将详细的日志数据写入系统日志以及Windows事件日志中，这就简化了在现有管理控制下集成工具的工作。

消除了IP地址对安全策略的依赖性，跨平台虚拟安全确保了这些策略被强制执行，不管地址或者设备平台在哪。安全管理员可以消除与规则改变相关的运作成本。实际上，策略被强制执行并且应用到不同的情况下，包括：

·当物理服务器和终端设备被迁移到网络中不同的位置

·物理服务器和终端设备转移到虚拟机上

·虚拟机实时或者离线地从一台物理主机迁移到另一台物理主机上

跨平台虚拟安全策略将物理服务器和虚拟机放置到逻辑安全区域，通过确保非法虚拟机不会成为其中一员或者不能与安全区域进行通信来防止虚拟机蔓延。通过通过控制对每个区域的访问路径，对虚拟机表面区域的攻击已经大大减少了。

跨平台方法通常是基于分布式、对等架构的，这样可以扩展到成百上千个实例。大范围完成策略管理，只要点击几下鼠标就可以升级部分或者所有终端策略。

其他的好处还包括：

·消除数据中心安全的混合策略所导致的管理复杂性，通过一个平台保护所有主机的安全。

·不需要重新架构整个网络就可以满足日常的法规遵从要求

·避免了与防火墙和虚拟LAN相关的运作成本

·通过采用分布式架构来消除瓶颈和单点故障

当评估一个跨平台虚拟安全解决方案的时候，考虑以下这些需求：

·跨平台支持（虚拟和物理）：理想的解决方案应该支持虚拟环境中常见的x86操作系统，以及其他常见或者不常见的架构，例如Solaris、AIX、HP-UX、Red Hat、Windows以及基于IP的非服务器设备。

·不依赖于IP地址：理想的解决方案应该不考虑计算机的IP地址强制执行安全策略，确保在迁移或者发生物理运动的时候保留安全策略。

·在同一个物理主机上隔离虚拟机：为了保护虚拟机不会因为发生虚拟机蔓延而引入漏洞，理想的解决方案应该能够在同一个主机上将虚拟机隔离开来。

·易于扩展：在不引入瓶颈的同时支持增长，寻找那些可以运行在分布式架构中的解决方案。

·选择性加密：选择一套提供基于策略的选择性（而不是非全有即全无的）加密功能的解决方案来实现性能或者保护的最大化。

·集中化管理：利用管理效率的优势选择一套提供了单点安全管理的解决方案。

·基于主机的执行：为了实现安全策略相关的最大颗粒度和移动性，选择一套可以在主机上强制执行策略的解决方案。

·架构和应用的透明性：为了将配置时间和兼容性问题降至最低，理想的解决方案应该具备网络和应用的透明度。

·强大的活动和审核记录功能：理想的解决方案应该详细记录活动数据，并且针对服务器、终端设备以及管理平台创建一个审核索引。

·基于证书的认证：选择一台采用X.509 v3证书的解决方案。

不可否认，服务器虚拟化具有很多运作和经济优势。跨平台虚拟安全消除了服务器虚拟化和强大安全性之间的差距，创建了一个应用于物理数据中心和虚拟数据中心的逻辑安全模式，同时保证虚拟机的迁移。简而言之，跨平台虚拟安全策略让企业机构可以完全转换到服务器虚拟化，同时简化安全策略的执行。