隨著將關鍵業務應用和敏感的數據不斷遷移至虛擬基礎設施，越來越多的組織正在評估并部署虛擬化安全設備與工具。

在虛擬環境中共享硬件資源擴大了對安全性的需求，因為眾多虛擬機寄居在一臺主機上。和傳統的物理服務器相比，虛擬化環境引入了新的攻擊面。安全工具與應用在虛擬化環境中通常是無效的，因此為了確保虛擬環境的安全，必須使用專門為虛擬化環境而開發的工具。

如果不同時對hypervisor以及虛擬環境的管理組件進行保護，那么你為保護虛擬機客戶操作系統所做出的所有努力都是徒勞的。虛擬機被封裝為單個虛擬磁盤文件，當虛擬機的便攜性變得非常高時將會帶來風險。從數據中心偷走一臺服務器是很困難的，但是既然能夠輕松拷貝虛擬機，那么虛擬機可以輕松地從數據中心的大門溜出去。

虛擬化是一個相對較新的技術，眾多的安全規則，比如支付卡行業數據安全標準（PCI DSS）都未將虛擬化技術考慮在內。PCI DSS的最新修訂版現在開始關注虛擬化層。在今天公司必須能夠證明它們對虛擬化環境的安全性具有充分的控制。幸運的是，眾多的第三方工具現在能夠確保虛擬化環境符合標準。

 虛擬化環境將物理網絡擴展到主機中，主機的虛擬交換機僅存在于主機內存中。虛擬交換機是一個二層交換機，它具有物理交換機的特性，連接了主機的物理網卡與虛擬機的虛擬網卡。因此，一些網絡流量從未脫離主機，處于主機外部位于物理網絡中的安全工具是不能夠檢測到這些流量的。專門為虛擬換環境而設計的安全工具位于虛擬網絡中并與hypervisor進行了集成，因此這些工具能夠查看虛擬機上的所有流量，即使這些流量從未脫離主機。所以有必要使用虛擬化安全工具彌補傳統安全工具的這一缺陷。

眾多的工具都在關注虛擬網絡。產品比如Catbird vSecurity通常具有與物理環境相對應的產品相同的特性，為虛擬機和虛擬交換機提供了防火墻、入侵檢測以及入侵防護設備。

虛擬化安全設備

虛擬化安全工具通常部署為虛擬化設備，小型的代理設備通常運行在每臺主機之上，一臺管理設備可以管理所有的代理設備。保護虛擬機的通用方法是在主機上創建受信域。這通常會涉及到創建沒有與物理網卡相關聯的虛擬交換機并將虛擬機與該交換機進行連接。

隨后防火墻設備虛擬機與孤立的虛擬交換機相關聯，然后再連接到其他具有物理網卡的交換機，這就創建了一座橋，訪問虛擬機的所有流量都會經過這一虛擬安全設備。這是一種監控網絡流量并保護虛擬機的有效方式，但是其效率低下而且還存在單點故障。為保護位于不同虛擬交換機之上的眾多虛擬機，需要對整個虛擬網絡架構進行改變，有時還往往需要多個虛擬設備。

VMware公司意識到了使用橋接保護虛擬機效率的低下。該公司創建了一個允許與虛擬機進行直接交互的VMsafe API，使用VMsafe API，不是嘗試在虛擬交換機上保護虛擬機，而是在每個虛擬機的網卡上對虛擬機進行保護，而且不需要對這個網絡進行配置。VMsafe不僅使監控與保護虛擬機變得更加容易，而且效率也更高。

VMsafe實現方式有兩種：快速路徑和常規路徑。常規路徑基于傳統的橋接配置，盡管它不像快速路徑那樣有效，但是常規路徑允許IT使用提供全方位服務的虛擬設備對流量進行監控。

另一方面，快速路徑直接作為hypervisor內核的一個可加載模塊實現，因此在監控流量時效率更高。正因為如此，和常規路徑相比，快速路徑提供了更大的可擴展性，但是可加載的模塊的代碼量必須是最小的而且僅限于實現其功能。眾多供應商使用了快速路徑與常規路徑相混合的方式實現其產品功能。

虛擬化防火墻產品

當你選擇虛擬化防火墻產品時，要考慮設備廠商如何實現并與hypervisor進行集成。Juniper以及Reflex Systems LLC是VMware VMsafe的早期采用者，已經擁有了成熟的產品——vGW虛擬化網關以及vTrust，都是采用的快速路徑方式。VMware vShield的第一個發行版采用的是橋接模式，但是其最近發布的產品使用了VMsafe，這和HP公司的TippingPoint虛擬控制器類似。

其他的廠商比如Catbird Networks，采用的是常規路徑，其產品比如Vyatta公司的Network OS和VMsafe相比并不具有優勢而且是以橋接的模式運行的。橋接或者常規路徑在小型環境中能夠很好地運轉，但是如果是在大型環境中，那么你可能需要的是快速路徑工具。

為確保虛擬環境的安全，你可能需要不止一款工具來對所有潛在的風險進行防護。因為在大型環境中擁有眾多的接入點，控制和訪問審計是很重要的。

應該盡可能地限制對虛擬環境管理層的訪問。虛擬化架構的獨特性使訪問并拷貝整個虛擬機變得過于簡單。無論你將如何對客戶操作系統進行防護，但是如果是在虛擬化層訪問該虛擬機，那么你就能夠輕易地破壞客戶操作系統的安全性。

因為內置控制通常不能夠很好地進行擴展，因此控制各種各樣的訪問方式并設定正確的訪問可能有困難。HyTrust公司使用HyTrust Appliance解決了該問題，在VMware環境中提供了單點登錄。這樣一來，對vSphere虛擬化環境的所有訪問都是通過HyTrust Appliance實現的，它扮演了整個虛擬化管理組件安全代理的角色。

HyTrust Appliance同時還提供了更多的細粒度控制，允許管理員將任何目錄用作身份驗證源。除此之外，它還提供了統一的日志機制，這樣管理員就不必仔細檢查所有的日志來制作訪問報表。

CA公司的虛擬特權管理器旨在對任意虛擬化環境的訪問進行控制。在大型虛擬環境中，訪問控制可能是個噩夢，因此能夠簡化這一任務的產品的確能夠節省時間而且將使企業變得更加安全。

把工作安排得井然有序

虛擬化仍舊是一個相對新的技術，而且很多虛擬化工具仍然不夠成熟。IT部門最初在虛擬化環境的安全性方面沒有投入太多的精力。但是，由于過去兩年云計算技術的不斷發展，這一局面開始有所改變。

規章制度的不斷增加在不斷推動著安全性的提升。而且很多公司在努力遵從安全的合規性。幸運的是，眾多的安全廠商認清了這一挑戰，其產品所提供的特性為遵從安全合規性提供了幫助。

當規劃虛擬化環境所需要的安全措施時，要花時間把事情安排的井然有序。嘗試使用你正在考慮的虛擬化安全工具，這樣你就能夠直接對其特性進行評估。但是請注意安裝，配置并卸載這些產品可能具有破壞性，因此要考慮對生產系統的影響。

產品的集成度以及擴展性是需要衡量的另一個關鍵因素。一個產品可能具有穩固的特性，但是如果難于實施，不好用，這可能成為你所在環境中的一個瓶頸，弊端大于帶來的好處。

一定要進行多層次的保護：數據，應用，操作系統，物理服務器，以及虛擬層。正確的安全工具確保了對生產環境的全面覆蓋性以及虛擬機和數據的安全性。

附：第三方工具