摘要：虚拟化安全问题目前仍然是个不确定的目标，相关专家仍在争论实现虚拟化安全的途径和新技术来试图填补该方面的差距。以下是对于IT行业来说十分重要的4个基本问题。

第1页:关于虚拟化安全的四个基本点 第2页:关于虚拟化安全的四个基本点

　　2.你应当让VM在不使用加密技术的情况下相互通信吗？
　　
　　据安全测试/分析机构SarrellGroup安全经理MattSarrell说，虚拟化服务器不仅仅意味着能够把多个操作系统集成到一台机器中，它意味着在这台机器中建立一个网络，这台机器中的所有VM能通过这个网络相互通信，并能与运行在其他服务器上的应用，以及Internet进行通信。
　　
　　据Sarrell说，促进在虚拟环境中采用加密技术的主要动力，来自于那些需要能够按照HIPAA或其他隐私管理规定证明其良好的数据监护链的机构。
　　
　　同样的加密技术可以帮助锁住会感染数据中心中运行的VM或系统的恶意软件，即使一个VM受感染，仍能保护其余VM安全无恙。
　　
　　Hochmuth说，往来于公有或私有云中VM的加密数据流，还可以进一步加固隔在公有云中相邻VM之间的大门。
　　
　　他说：“共享服务器公共云就像是生活在一栋公寓楼中，因此你是否安全可能取决于你的邻居的行为有多安全。加密你的VM和数据可以使这种情况变得更安全一些，但也会受到性能下降的风险。”
　　
　　3.你知道谁或什么程序在请求数据吗？
　　
　　据IDC企业虚拟化软件部研究经理Gary Chen说，与MAC或IP地址紧密相联的安全策略，在相关实体是虚拟时会变得效果不佳。
　　
　　据Gartner的Mac Donald说，当应用运行在虚拟机中时，安全设备必须考虑到谁想访问、他们想访问什么、何时何地访问，以及他们是从什么设备而来。
　　
　　只有在这种背景下，安全策略会比紧紧地锁定敏感数据更有效，除非在办公室中使用安全访问的新雇员或未经培训的雇员决定通过未加密的WiFi网络将数据下载到不安全的便携机，这种情况是个例外。
　　
　　Hochmuth说，一个公有云或私有云中的虚拟机之间应当能够执行同样水平的安全策略，要能够根据请求数据的环境而不是发出请求的MAC或IP地址来执行安全策略。
　　
　　4.你仔细检查过VM之间的地带吗？
　　
　　Chen说，运行虚拟服务器意味着运行额外的操作系统—VMware的vSphere、Citrix的Xen server或Microsoft的Windows Server 2008—这些操作系统会受到黑客或针对VM或系统管理程序的恶意软件的攻击。
　　
　　Chen说，恶意软件不仅能通过与Internet的连接向虚拟机传播，而且一旦感染防火墙内或物理服务器内的一个VM后(尤其当VM被设置为使它们能相互访问的支持故障切换或灾难恢复功能时)，会在VM之间传播。Hochmuth说，即使虚拟化软件拆除服务器之间的高墙让它们可以共享空间、数据或工作负载之后，数据加密或采用身份保护措施也可以在服务器之间重建这个高墙来保护数据安全。
　　
　　NIST对上述基本问题的观点
　　
　　据美国国家标准与技术研究院(NIST)日前发布的有关虚拟化安全的指导说，正如物理服务器那样，虚拟服务器必须根据机构规定的安全水平规则来打补丁、配置和维护，让马虎或不一致性不会给整个安全努力造成不利的影响。
　　
　　NIST指导方针概要
　　
　　1.如保护操作系统那样，保护系统管理程序的安全;如果系统管理程序的作用如操作系统那样，它就会像操作系统那样容易受到攻击。系统管理程序中的漏洞使运行在它上面的一切变得容易受到攻击。
　　
　　2.确立一致的指导方针来配置虚拟机和物理机的安全性，并在确立指导方针后，建立检验指导方针的流程。
　　
　　3.将修补和脆弱性管理流程覆盖到物理机的同时，要扩展到虚拟机。
　　
　　责任编辑：燕子