在企業運用虛拟化技術(shù)過程當中，也還(hái)在犯着過去(qù)二十年(nián)來(lái)的安全性錯誤，這主要是由于它們沒有意識到，在不同角度上新技術(shù)會帶來(lái)同樣的安全風(fēng)險。下面，本文将向你(nǐ)介紹如(rú)何提高數據中心的虛拟化安全。
 
　　在虛拟化環境中，若某個虛拟系統或者虛拟程序受到潛在威脅，則勢必會影(yǐng)響到其他(tā)系統或者程序并進而嚴重威脅到企業自(zì)身(shēn)的安全。随着虛拟化技術(shù)在數據中心應用方面日(rì)益普及，下面，将具體(tǐ)談到解決虛拟化安全挑戰的五個方面：
 
　　1、把安全計(jì)入整體(tǐ)成本
 
　　在考慮到虛拟化時，企業一般都(dōu)會通過節約成本提高服務器利用率，以及整合數據中心的服務器來(lái)實現——基于硬件(jiàn)的節省和供應成本的降低。事(shì)實上，安全也應該納入到成本核算體(tǐ)系當中。比如(rú)，提供監測、入侵檢測、補丁驗證和追蹤的虛拟設備成本，已經其他(tā)需要安裝到各個物理(lǐ)平台上的安全服務器。這樣可(kě)以減少每個物理(lǐ)主機(jī)所需支持的虛拟服務器，從(cóng)而也影(yǐng)響到投資回報率。
 
　　2、把安全視作(zuò)虛拟化設計(jì)階段的首要因素
 
　　企業需要對虛拟世界監測安全性能指标——需要在隔離(lí)應用程序和系統方面做出聰明的抉擇。例如(rú)，把信用卡信息從(cóng)虛拟環境中分(fēn)離(lí)出來(lái)，可(kě)以有效地減少PCI(支付卡行業)追蹤相(xiàng)關電子交易信息。然而，在面向互聯網的Web服務器中存儲信用卡信息，并在同一物理(lǐ)主機(jī)上設有核對目錄清單的應用服務器，這樣會導緻數據庫管理(lǐ)訂單追蹤面臨更大(dà)的威脅。
 
　　3、監視無形網絡
 
　　雖然物理(lǐ)服務器環境之間的數據，是通過一個物理(lǐ)網絡來(lái)傳輸的、并且也是可(kě)以監控的，與此相(xiàng)對，虛拟服務器則是連接到一個虛拟網絡環境中——這就(jiù)使得(de)在虛拟主機(jī)之間，監測和保護傳輸中的數據變得(de)十分(fēn)困難。對此，現實當中經過驗證的解決方案有：适用虛拟環境下的入侵檢測和嗅探器。其他(tā)的解決方法則包括加強監控、虛拟補丁管理(lǐ)以及虛拟系統環境中的安全調查工(gōng)具。
 
　　4、監控便攜式存儲設備
 
　　對于虛拟環境而言，再沒有比監控個人(rén)數據存儲設備的使用更重要的了。得(de)益于便攜的天性和虛拟服務器映像的優點，虛拟化是一項很出色的促進數據恢複的技術(shù)。企業組織可(kě)以把系統映像拷貝到一個硬盤當中以便将來(lái)恢複系統，也可(kě)以把映像連接到複制後的數據之中。
 
　　但(dàn)是，USB閃存盤、安全數碼卡和iPods都(dōu)可(kě)以提供數GB的移動存儲給任何一個用戶——包括那些想拷貝一些服務器映像并且逃之夭夭的人(rén)。擁有一套對付這些設備的管理(lǐ)方案，對于保護敏感信息或者個人(rén)、商業信息都(dōu)是十分(fēn)必須的。
 
　　5、緊盯最新虛拟化安全研究
 
　　在2008年(nián)的DEFCON黑(hēi)客會議(yì)上，一些身(shēn)處最前沿的安全研究員(yuán)展示了多種攻擊管理(lǐ)軟件(jiàn)的方法，而這些被攻擊的管理(lǐ)軟件(jiàn)又會反過來(lái)損害虛拟主機(jī)，使公司的資産比如(rú)信用卡資料、薪金和福利以及專有的業務戰略等信息外洩。請(qǐng)記住，這些潛在的攻擊還(hái)僅僅是冰山(shān)一角。企業需要有針對最新安全研究的專門(mén)部署，并在某些情況下，即使無計(jì)可(kě)施也要采取其他(tā)方面的控制手段。
 
　　這五個方面反映了信息安全必須納入評估、設計(jì)和執行虛拟化環境以及保護數據安全和滿足相(xiàng)關要求的戰略觀點。随着衆多企業關注虛拟化帶來(lái)的種種好處，它們也必須審查将會面臨的核心風(fēng)險——意味着安全需要從(cóng)一開始就(jiù)重視起來(lái)。