隨著企業越來越多地投資于虛擬化技術，安全專業人士都在試圖管理這些環境中的安全性。

很多公司不得不面對的現實是：虛擬環境內的安全性并沒有達到傳統物理網絡和系統的標準。

為什么企業安全團隊遲遲沒有部署必要的政策和流程來安全地管理虛擬化平臺呢?有時候，這是因為不成熟技術(例如端點安全)不能很好地應用在虛擬數據中心。在其他情況下，安全團隊可能不知道“他們不知道什么”，或者在部署流程中不夠成熟。

現在越來越多的企業虛擬化其數據中心，在這些環境中部署基本的安全做法和技術的需求也在增加?，F在有很多可用技術來幫助IT安全在虛擬基礎設施部署控制，但安全團隊只是部分地使用這些工具。隨著計算工作負載逐漸增多，安全團隊應該認真評估虛擬化專有技術，并更深入地整合到其數據中心。

管理不當的環境

好消息是，虛擬化可以簡化漏洞修復和配置管理，但同時也需要嚴格的目錄管理來避免虛擬機泛濫。

在虛擬化環境中，很多虛擬機位于單個物理系統，即所謂的多租戶。管理程序軟件負責維護虛擬機之間的分隔和隔離。同時，開源或商業虛擬網絡和虛擬安全設備或插件可以輔助這一工作。

在虛擬化環境中，配置管理其實可以更容易。使用模板可以簡化新虛擬機的部署，模板維護可以幫助集中化配置管理工具和做法到一個位置。微軟、Citrix和Vmware都提供工具和其他辦法來創建和管理虛擬機生命周期以及配置虛擬機生命周期及配置。

雖然漏洞修復在很多企業仍然是挑戰，但對虛擬機測試補丁通常更容易，因為你可以在測試前對鏡像快照，并在測試完成時回滾到原來的鏡像。

然而，在很多環境的主要安全問題是缺乏虛擬機相關的完善的目錄管理。管理員和開發人員可以很容易地創建虛擬機，這種簡便性導致系統在配置時很少考慮到生命周期管理。有時候虛擬機可能會被暫?；蜿P閉，并保持休眠一段時間;然而，與這些機器相關的文件仍然包含敏感數據。當虛擬機再次啟用時，它們可能已經錯過補丁修復和關鍵的配置控制。

想要正確管理虛擬環境的動態特性，運營團隊需要更新和調整其變更管理流程來適應變化的節奏，同時考慮虛擬化堆棧中所有組件的依存關系—存儲、網絡和虛擬機管理程序。

角色和特權管理

在虛擬環境的職責分離也很困難。有些IT企業在開始虛擬機部署時，讓現有的管理員和工程師團隊設計并部署虛擬化技術。這一團隊通常需要管理虛擬基礎設施的各個組件，缺乏職責分離可能導致意外錯誤或者管理不當的環境(更不用提當某個虛擬化團隊成員變成惡意內部人員所造成的問題)。

Vmware管理員使用默認的“管理員”角色執行所有管理活動并不是稀罕事。在虛擬環境中管理存儲和網絡對象的其他IT管理員通常也會承擔這一角色，這些管理員通常有著過多的操作權限。

從網絡安全方面來看，這種趨勢是明顯的后退。有些企業正在部署中央接入網關到其虛擬化管理工具，其中包括更強的的角色和權限管理。這樣的產品例子是Hytrust設備—它整合了Vmware的vCenter管理平臺。

流量問題

在虛擬數據中心的網絡架構整合也可能導致影響安全的問題。由于所有虛擬機都共享硬件，虛擬機管理程序服務器或刀片服務器中的網絡接口數量可能會決定網絡流量的融合程度。

大多數虛擬環境包含正常的生產流量，以及管理流量來訪問和操作虛擬化組件的存儲流量(例如iSCSI或光纖通道)。此外，還有操作流量，例如動態虛擬機遷移(在Vmware環境中被稱為vMotion)。

vMotion流量包含以文本形式發送的虛擬機(VM)內存內容，這可能包括敏感數據和身份驗證憑證。管理流量可能包括配置詳細信息或對攻擊者有用的其他信息。這些信息與生產流量混雜可能會增加數據在環境內暴露機會，如果攻擊者成功入侵環境，這可能導致數據泄露。現在很少企業會完全區別對待虛擬數據中心的所有這些數據類型。

更好的技術控制

在過去幾年中，虛擬化專用技術控制領域發生了很多變化。幸運的是，企業安全團隊使用的一些工具已經得到顯著改善，讓IT人員可以在虛擬環境實現與物理環境相當的安全水平。

所有主要防火墻供應商現在都有虛擬化選項，即虛擬設備(專門的VM)。Check Point、思科、Fortinet、瞻博網絡和Palo Alto等多家知名廠商都提供各種型號的虛擬設備，這些設備可以整合到虛擬基礎設施。Vmware也有自己的vShield系列虛擬防火墻，同時提供內部和外圍監控以及流量控制。

然而，很多安全團隊并沒有廣泛使用虛擬防火墻。這個功能存在，只是網絡和安全團隊仍然感覺其物理防火墻能夠處理網絡內的流量控制。

對這些設備的管理是另一個挑戰。有些虛擬化團隊感覺他們應該管理虛擬環境內的所有組件，即使是那些網絡或安全相關的組件。

從成熟度的角度來看，網絡IDS/IPS可以媲美虛擬防火墻。有時候在虛擬設備也提供這個功能(采用更加統一威脅管理UTM的方法來實現網絡安全)。請參見后文的“現狀分析：虛擬網絡安全工具”。

除了獨立的平臺，入侵檢測在虛擬環境可以更容易得實現，因為虛擬交換機中具有先進的功能。很多交換機(包括來自微軟、Vmware、思科和Open vSwitch項目的交換機)允許NetFlow輸出，以及端口鏡像選項復制流量到專用的入侵檢測設備或外部傳感器。

端點安全變化

發生顯著改變的領域是端點安全。在大多數虛擬化環境，傳統防病毒代理太耗費資源，很多傳統終端產品并沒有完全優化用于虛擬系統。Intel Security(MOVE)和趨勢科技(Deep Security)的新技術卸載端點安全處理到專用虛擬機，同時利用本地API調用和內核集成來保持VM的處理要求在低水平。

很多企業還沒有部署這些專門的端點安全產品，不過，大部分企業已經開始測試這些工具或者實現有限的部署。在為虛擬環境選擇端點安全產品時，安全團隊需要注意的事項包括以下：

·檢查供應商產品與你的虛擬化技術的整合水平。目前，Vmware擁有來自新的反惡意軟件和其他端點安全供應商的最多支持。微軟和Citrix與第三方供應商只有較少的整合

·注意新的“卸載”模式的局限性和缺點。雖然性能可能會提高，但為行為啟發式執行實時掃描和內存分析的能力可能會受到影響。此外，這些產品可能無法在大型環境中很好地擴展。

·要求供應商提供客戶參考，以及在你的端點類型和虛擬化技術內操作相關的性能統計數據和指標。

虛擬機管理程序日志收集

目前，很多企業的虛擬環境內的日志記錄和監測非常不成熟。

最大的問題是從虛擬機管理平臺進行日志收集，很多企業根本沒有這樣做或者做得不夠。虛擬機管理程序平臺會生成各種日志信息,告訴你誰正在使用該平臺、正在進行什么類型的活動、性能和行為統計數據等。例如，Vmware是ESXi虛擬機管理程序包含以下日志信息，安全和運營團隊應該這些日志進行收集：

·/var/log/syslog.log – 通用系統日志文件

·/var/log/auth.log - 身份驗證和安全事件

·/var/log/vmkernel.log - 其他虛擬機管理程序的信息

·/var/log/hostd.log - Master ESXi服務日志

·/var/log/vpxa.log - vCenter 管理代理日志

大多數基于Linux的虛擬機管理程序(Xen、KVM、Vmware)本身包含某種系統日志守護進程，這使得日志收集和匯總更簡單。在Hyper-V環境中，應該使用針對Windows Event Viewer的日志代理，雖然Microsoft System Center工具也可以從分布式管理程序檢索日志和事件數據。

安全團隊應該收集其環境中所有虛擬機管理程序的所有相關日志信息，并整合這些信息到中央日志管理和SIEM平臺進行分析和關聯。

最后，在大多數企業，仍然需要解決物理和虛擬環境內部署的安全技術之間的差距。但目前很多IT和安全團隊遲遲沒有部署必要的政策和流程來更好地管理虛擬化平臺和虛擬機。

隨著企業對虛擬數據中心的投資增加，企業安全團隊應該認真評估虛擬化專有安全工具，而首席信息安全官應該部署和改進虛擬化管理及操作相關的政策和流程。現在虛擬環境內的安全性并沒有達到物理系統和網絡的水平，但隨著虛擬技術的發展以及政策到位，這個問題可以得到解決。

現狀分析：虛擬網絡安全工具

在評估虛擬設備時，企業團隊應該考慮以下方法來提高虛擬網絡安全性：

確定你是否需要虛擬防火墻來對發送到、發送自虛擬化或云計算基礎設施及其內部的流量進行控制。在某些情況下，因為合規目的，或者為了實現比現有物理防火墻及架構可提供的流量控制更細粒度的控制，企業可能需要虛擬防火墻。

確保你的虛擬IDS/IPS或防火墻供應商支持你主要的虛擬技術。目前，大多數供應商支持VMWare，而Xen和Hyper-V平臺的支持則很有限。

考慮虛擬設備需要多少資源—它們需要內存、磁盤空間和CPU。

考慮防火墻和IDS/IPS管理相關的管理問題。在大多數情況下，可以讓當前管理防火墻和IDS/IPS的團隊管理虛擬模式。