虚拟化环境下实现安全分区

　　虚拟化和云计算都是时下最热门的话题，后者需要依赖于前者。我们可以使用客户端和服务器虚拟化技术来搭建虚拟化环境，以此减小数据中心和客户端规模，也可以整合客户端和服务器来降低能耗需求，还可以从多个物理机器将服务器移至虚拟化环境上以解决机架空间问题。虚拟化是成功的，因为虚拟化帮助我们解决了很多问题。

　　然而，还有一个方面是虚拟化没有解决的，那就是安全问题。虚拟化技术本身并不是安全技术。事实上，虚拟化的安全问题能够反映出物理环境的安全问题。安全问题在虚拟化环境中变得越来越重要，因为安全问题将对虚拟化环境造成很严重影响。

　　正因如此，我们需要认真考虑虚拟化环境核心安全概念以及相关部署问题。在所有网络(尤其是虚拟客户端和服务器网络)中都适用的一个重要概念就是：安全分区。安全区集合了承担着共同安全风险或者安全威胁的资源，有几种方法可以归纳安全区的特点：

　　相同安全区的所有成员都承担着共同的安全风险

　　相同安全区的所有成员对于企业有着相似的价值，高价值资产不可能与低价值资产位于同一安全区

　　面向互联网的主机通常与面向非互联网的主机位于不同安全区

　　一个安全区受到破坏并不会影响其他安全区，受破坏的安全区应该是隔离的，不会对其他区造成任何影响

　　安全区必须通过物理或者逻辑方式进行分割，必须使用访问控制设备或者软件来控制用户对不同安全区的访问权。可以使用防火墙来创建物理分割，或者使用先进软件方式(如Ipsec)来创建虚拟网络分割。

　　在虚拟化环境和物理环境中都应该进行安全分区和安全分割，例如可以将安全区按照以下三种简单分区进行分割：

　　互联网边缘安全区

　　客户端系统安全区

　　网络服务安全区

　　下图显示的是一个简单的服务器整合，主要侧重于虚拟化项目。这个结构中有一个虚拟服务器，该虚拟服务器控制着防火墙、域控制器、邮件服务器以及文件服务器。这些虚拟机都连接到相同的物理网络中(就像客户端系统一样)。

　　这其实是一个很糟糕的安全模式，原因如下：

　　面向互联网的虚拟机与网络服务虚拟机位于同一个虚拟服务器上，互联网防火墙虚拟机出现问题时，将会对网络服务机器造成负面影响，而网络服务器属于不同安全区。

　　客户端系统与网络服务虚拟机位于相同的物理网络，客户端系统出现问题时，将会对虚拟化环境造成不良影响。客户端系统应该与网络服务虚拟机进行分割，放置在不同的安全区。

　　这是一个简单服务器整合项目的常见设计，从安全观点来看，这是个很糟糕的设计。让我们看看可以怎样改善这种状况：

　　下图展示的是比图1更好的虚拟化环境安全配置，在这个设计中，添加了第二台虚拟服务器。第一台虚拟服务器只控制边缘安全设备，这能有效分割面向互联网的防火墙与面向非互联网的主机，从而成功地将防火墙安全区从网络服务安全区中分割出来。不管虚拟防火墙还是在虚拟服务器上运行的防火墙受到破坏，位于第二台虚拟服务器上的虚拟机器都不会受到太大负面影响。

　　第二台虚拟机仅控制着属于网络服务安全区的虚拟机，不过，客户端系统仍然与网络服务虚拟机位于相同物理网络中。这不是一个最优配置方式，因为如果客户端系统安全区发生故障，这些安全区之间没有访问控制或者安全设备可以限制故障造成的潜在影响。

　　虽然这种虚拟化环境的安全设计优于第一种设计，不过还是有很多地方可以进行改善的，以创造更安全的配置。