新一代数据中心的安全保障

最近信息周刊的一次市场调查结果显示，70%的受访者表示他们使用了至少一台虚拟化服务器，然而不到12%的用户为他们的虚拟化环境配备了相应的安全保障措施。纵观目前X86平台上的虚拟化产品的市场状况，这一结果并不令人意外，但这并不意味着这个结果能让人接受。

在没有相应的安全防护计划的用户当中，多数受访者相信虚拟机和传统的物理服务器一样安全，另外的18%的受访者则承认他们对于虚拟化是否已经改变了安全性的游戏规则还一无所知。(参看下图的调查显示)

毫无疑问虚拟化无论是现在还是将来都是一项重要的革命性技术，它改变了数据中心的现状。显而易见，虚拟化技术的革命性在于它改变了企业对其数据安全和计算体系架构的常规性认识。我们认为虚拟化不应是安全策略应用的禁区，企业用户应当在制定虚拟化配置计划时充分应用安全和管理战略。

虚拟化的安全隐患主要来自两个方面。首先是虚拟化技术需要额外的软件支持。对于桌面电脑，虚拟化经常扮演的是应用软件的角色，它会在桌面电脑操作系统(例如Windows操作系统)下作为程序运行。对于服务器而言，管理程序则是介于普通硬件和通用目的的操作系统间的硬件虚拟化层面上的首选。

同样，管理程序经常会执行少于100，000行的代码。当对通用目的的操作系统数以百万的命令行进行比较时，创建一个没有安全隐患的管理程序是最具现实意义的目标。但是缺陷依然是存在的。所有的虚拟化厂商都将开出安全的管理程序作为优先考虑的重点。VMware公司的首席信息官Mendel Rosenblum就曾经宣扬VMware的ESX虚拟化产品没有安全漏洞，并为其无缺陷设计而引以为傲，但事实上执行错误的可能性任然是有待解决的问题。而企业对这些问题经常不够重视。在常规的操作系统中通常都会有用来探测漏洞的工具包，但却没有相关的工具来对管理程序的漏洞进行探测。

如何获取安全保障

以下两个表格可能对你有所帮助。首先，随着虚拟化逐渐成为市场的主流，硬件厂商也在从头开始设计终端用户系统，为用户提供管理员控制的虚拟机分区和管理程序层，来防止恶意软件入侵系统。

其次就是在最新的X86平台系统中使用可信任平台模组(Trusted Platform. Module)。通过运用可信任平台模组可以验证软件的真实性，还能更加简便的对虚拟机间的流量进行加密。使用TPM功能，软件能够方便的测定系统映像的变化情况。由于TPM是专门针对进行加密的硬件设计，它还能有效的帮助软件防止恶意木马和病毒程序的感染和入侵。

另外一个隐患来自于多重虚拟机在同一系统平台上彼此相互通讯时可能产生的副作用。随着虚拟机之间相互迁移的能力不断增强，导致以网络为基础的安全产品的防护效果大打折扣。

X86虚拟化平台的成果之一就是服务器整合。这个想法就是一台运行无数虚拟机的服务器功能强大，相当与许多台传统的服务器。随着在一台系统上运行多重虚拟机，虚拟机间的流量也显著提高。在虚拟机之间，所有的虚拟化产品能创建一个虚拟化开关，可以由服务器上的所有虚拟机共享。来自防火墙的外部网络安全工具只能对系统入侵进行检测和防止系统被恶意程序侵扰，对物理我服务器的网络流量却是熟视无睹。

保障服务器上运行多重虚拟机的安全方法之一就是确保所有的虚拟机在相近的操作系统上运行，并且每台虚拟机都能及时的进行补丁更新。这意味着在指定服务器上运行的所有系统如果都是可靠的，那么虚拟机间的相互通信也将是安全的。诸如主机防火墙这样的安全产品应该及时提供相应的安全保障。

使用安全工具来提高虚拟化环境的安全性

虚拟化工具是有着最小化操作系统的虚拟机，这个操作系统的配置能满足应用程序的需求。想法就是将最终用户的操作系统配置工作最小化甚至省略并能让用户快速连续的进行系统配置而无需太多的专业技术。使用虚拟化工具的应用程序范围从栅格计算到"软件即服务(SaaS)再到安全不断进步。

虚拟化工具能够在任何虚拟化环境中创建，VMware公司也当仁不让的走在了行业的前列，并在"先试后买"(try-before-you-buy)网站上建立了卖场。在这个网站上罗列了100多种与安全相关的虚拟化工具。其中只有一小部分来自商业厂商。大部分虚拟化工具都由国内集团或者开源组织提供。

网站上列出的主要厂商及产品有：Astaro公司的统一安全隐患管理工具;Blue Lane公司的虚拟化补丁工具，Catbird公司的安全代理;Reflex公司的入侵保护工具。这些虚拟化工具能够弥补虚拟化环境中安全保障中的不足之处。

创建虚拟化环境的工具日前也崭露头角，如果你认为虚拟化安全只是购买不同的安全工具那就大错特错了。安全研究公司Neohapsis的首席信息官格雷格.设普利的建议是："认真关注你所面对的安全隐患，想一想什么工具或者技术能对安全保障有所帮助"。格雷格对安全软件厂商也持怀疑态度，他表示"我不得不思考是否有些厂商只是简单的着眼于虚拟化产品的眼前利益，我如何从VMware公司的虚拟化产品陈列中发掘安全亮点?我认为用户目前的负担是对这些安全隐患加以辨别，然后再选择合适的虚拟化工具"。

虚拟化改变了计算机领域从桌面电脑到数据中心的现状。获取正确的安全保障要求我们对安全的途径那个和目标重新思考。平台和网络安全作为时下安全防护的中流砥柱，也将为保障数据安全保驾护航。