摘要：应用和操作系统虚拟化所包含的概念并非新概念，它们在服务器设备和桌面PC得到广泛普及的很长一段时间之前就已经出现。然而在过去几年内，虚拟化普及的速度（尤其是软件操作系统虚拟化）迅速提高。据EMC®公司CEOJoeTucci称，大部分VMware®客户已经计划在未来三年内实现其50%的IT基础设施的虚拟化2。虚拟机最终盛行起来，并且正迅速进入企业数据中心，成为各个地方的IT部门内所有人员和小组的通用工具。

第1页:虚拟化数据中心的安全问题（1） 第2页:虚拟化数据中心的安全问题（2） 第3页:虚拟化数据中心的安全问题（3） 第4页:虚拟化数据中心的安全问题（4） 第5页:虚拟化数据中心的安全问题（5） 第6页:虚拟化数据中心的安全问题（6）

　　
结束语
　　
随着企业级虚拟化软件在市场上流行，例如VMware和Microsoft（分别是ESXVirtualInfrastructure和VirtualPC），许多著名公司和支持资金为虚拟数据中心的移植提供了支持。Microsoft的Longhorn平台将配备一个本地Hypervisor，允许通过操作系统直接实现虚拟化，而不需要安装第三方VMM。CPU制造商正迅速实施基于硬件的Hypervisor，例如AMD的Pacifica项目。现在，企业IT部门用一台容纳20个独立操作系统的4U机器全面取代容纳单个操作系统的专用1U机器的现象非常普遍。我们承认，操作系统存在安全缺陷，因此，我们对在网络中部署未打补丁的系统非常谨慎，而我们又盲目地认为VMM及其客户端操作系统是安全的。虚拟操作环境与物理操作环境同样安全的概念可能是代价极为高昂而且极具破坏性的谬论。这种虚拟化范例的变化引出了一套新的安全问题和风险。安全管理员对“一种产品针对一种应用”环境中的“加固操作系统”、“围墙花园”和“网络分区”等术语比较熟悉，但他们如何将这些概念应用到尚不了解的虚拟数据中心？我们如何在尚不了解的环境中保护自己？当前的系统和安全管理员需要开始关注虚拟安全，为应对分布式和针对性攻击的新威胁做好准备。虚拟基础设施管理员应了解并且准备应对许多安全风险和考虑因素，其中许多并未在本文中讨论。在向完全虚拟化的环境演进之前，仍有许多问题需要解决，例如：

•我们当前的分析、调试和调查工具如何适应虚拟化环境？

•在所有虚拟化平台之间，安全管理员需要掌握哪些新工具？

•补丁管理如何影响客户端、主机和管理子系统的虚拟基础设施？

•新的安全工具（例如嵌入CPU中的硬件虚拟化）是否有助于通过移出软件而保护Hypervisor？

•在实现全面虚拟化时，已知的安全最佳实践（例如非可执行堆栈）如何提供帮助？硬件虚拟化是否能为真正的安全WMM铺平道路？

•虚拟化和共享存储：如果我们对iSCSI传输层进行了虚拟化会怎样？我们是否为避开内置的SAN安全打开了方便之门？这些问题都需要在企业全面向虚拟化环境演进之前给出答案。更重要的是，我们现在就应考虑虚拟化安全会将我们带向何处。我们都承认，虚拟化是为了更好地开展业务并坚持下来，但安全管理员需要保证比威胁先行一步，并在攻击者进行编码之前考虑虚拟化的威胁。

    责任编辑：handsome