用跨平台虚拟安全工具强化虚拟安全

　　物理与虚拟环境不同使安全复杂化

　　据调查公司Gartner说，到2009年底时，60%的虚拟机（VM）将不如相应的物理机器安全。其相应的安全挑战包括如下几点：

　　※ IP地址依赖性：在虚拟化的环境中，IP地址常常在VM创建、停止运行或从一台物理主机迁移到另一台时发生变化，从而在传统保护机制中造成问题。

　　※ 虚拟机泛滥：VM很容易从已有的映像中创建，因而常常引入大量的、没有得到正确维护的VM或基于存在已知安全漏洞的映像的VM。对存在安全漏洞的VM的成功攻击可能带来攻击其它虚拟机的跳板。

　　※ 不能监测主机间的传输流：服务器虚拟化引入使一台主机内的VM相互通信的“软件交换”的概念。监测和保护这类通信需要专门的工具，而这类工具的选择余地很有限。

　　※ 以孤岛方式实施安全策略：不幸的是，许多安全厂商采用安全孤岛的方式实施安全性，建议每个客户使用具有不同的管理要求的不同的解决方案。

　　Gartner公司分析师Neil MacDonald最近接受《Network World》采访时说：“虚拟世界中的多数安全问题将是由不当的管理或一般的老错误造成的。我们在物理世界中使用与虚拟世界中不同的工具的事实让这个问题变得更复杂。”

　　鉴于实现服务器虚拟化的好处所必须应对的挑战，需要一种新的实现安全性的方式，一种可以保护虚拟和物理环境安全的跨平台的解决方案。跨平台虚拟安全工具可以帮助机构跨数据中心执行动态安全策略，消除虚拟化的好处与保持强健的安全性之间的折衷。

　　跨平台虚拟安全工具强化虚拟安全

　　跨平台虚拟安全工具管理控制台应当能够部署在网络任何位置，应当提供最大限度增加灵活性的委托授权。它们通常将详细的日志数据写入syslog和Windows事件日志，而这方便了将工具与已有管理控制集成的工作。

　　由于消除了安全策略的IP地址依赖性，跨平台虚拟安全性确保安全策略不管机器的位置或平台都可以被执行。安全管理员可以消除与规则变更相关的运营费用。事实上，安全策略在不同情况下被执行并且是一致的，这些情况包括：

　　※ 当物理服务器和终端转移到网络的不同位置时。

　　※ 物理服务器和终端转换为VM

　　※ VM由一台物理主机迁移到另一台，无论这些VM是现用的或未用的。

　　跨平台虚拟安全性将物理机器和VM置于逻辑安全区中，并通过确保不良VM不成为安全区的成员，不能与不是其成员的安全区通信来防止VM泛滥。事实上，它们甚至看不到安全区中的成员。通过严格控制对每个安全区的访问，受损VM的攻击面大大减少。

　　跨平台方式通常基于一种分布式的、对等的架构，这种架构提供扩展到几十万虚拟机实例的可伸缩性。策略管理大规模完成，只需点击几下鼠标就可更新一些或所有终端策略。

　　该方式的另一些好处包括如下几点：

　　※ 消除孤岛方式实现数据中心安全造成的管理复杂性，通过单一控制台保护主机。

　　※ 无需重新配置网络就可满足法规遵从性。

　　※ 消除与防火墙和虚拟LAN相关的运营费用。

　　※ 利用分布式架构消灭瓶颈和单故障点。

　　评估虚拟安全方案的要点

　　在评估跨平台虚拟安全解决方案时，需要考虑以下要求：

　　※ 跨平台支持（虚拟的和物理的）：理想的解决方案支持虚拟化环境中的x86操作系统以及其它常见和不太常见的架构，如Solaris、AIX、HP-UX、RedHat、Windows和基于IP的非服务器设备。

　　※ 不依赖于IP地址：理想的解决方案不管计算机是什么IP地址都能执行安全策略，从而确保发生迁移或物理转移时的策略一致性。

　　※ 隔离同一台物理主机上的VM：为保护VM免受VM泛滥造成的安全漏洞，理想的解决方案应当能够将同一台物理主机上的VM相互隔离。

　　※ 易于伸缩：寻找运行在分布式架构上的解决方案，以支持不形成瓶颈的扩展。