虚拟化安全：安全的下一个战场

正在采用虚拟化技术的企业数量正以越来越快的速度增长。它们正在把服务器、桌面、存储和网络统统地虚拟化。但是，在基础设施中有一个方面却大大落后了——极少有企业会对虚拟化安全提出要求。

所谓虚拟化安全就是采用虚拟化原理，在虚拟化数据中心内创建一个弹性的逻辑安全层的安全技术。由于虚拟化环境独特的动态特性，传统的静态安全措施往往不敷使用，不仅难以管理动态虚拟服务器池周边的静态安全设备，而且静态安全还有可能会遮掩虚拟化所带来的好处。

虚拟机的封装和便携性可以解放虚拟服务器，可以让它们很方便地从一台物理服务器迁移到另一台物理服务器上去。但如果安全环境不允许这么做的话，你就不得不强迫虚拟服务器不能迁移。幸运的是，虚拟化安全市场在今年已逐渐获得了更多的关注。

到目前为止，大多数虚拟安全产品要么是基于虚拟设备的，要么就是部署在虚拟机内部的安全代理。这虽然给了它们以灵活性，但同时也限制了对虚拟机“内部”的访问。来自VMware的新的解决方案或许能改变下注的筹码，为新生的虚拟安全市场注入动力。VMware最近所发布的VMSafe计划将为虚拟安全服务提供一个框架，并能为与虚拟机和hypervisor交互作用的虚拟安全服务提供必要的API。

这组API可以让虚拟安全工具检查和过滤虚拟机的所有内存、CPU、进程、存储以及网络流量。还赋予了安全解决方案这样的能力：即可在虚拟机上运行，又能保持与虚拟机内各种恶意程序的完全隔绝。在操作系统上运行的安全代理解决方案可以被恶意软件终止或破坏，而虚拟安全解决方案则不同，它处在不会被操作系统触及到的地方。

虚拟安全技术会产生两种影响。短期来看，它会让企业克服保障虚拟化环境的安全所带来的困难。安全工程师可以利用虚拟安全技术构建支持虚拟服务器的安全解决方案，同时又不会伤及一些重要的虚拟化功能，如虚拟机的资源池和实时迁移（VMotion、XenMotion等）。长期来看，虚拟安全可以利用虚拟化原理让安全达到一个全新的层次。

当然，虚拟安全不仅仅是可以让虚拟机工作得更好，更重要的是引入了全新的安全概念。和移动的安全环境理念一样，须以接近实时的速度，从一台安全设备迁移到另一台（FWMotion？IPSMotion？），协调安排好动态安全策略的预配置，管理好其他可创建虚拟机（服务器、存储、网络等等）的资源。所以，我们要问的不是安全能为虚拟化做什么，而是要问虚拟化能为安全做什么！

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友