虛擬化安全：安全領(lǐng)域的下一個(gè)主戰(zhàn)場(chǎng)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

正在采用虛擬化技術(shù)的企業(yè)數(shù)量正以越來(lái)越快的速度增長(zhǎng)。它們正在把服務(wù)器、桌面、存儲(chǔ)和網(wǎng)絡(luò)統(tǒng)統(tǒng)地虛擬化。但是，在基礎(chǔ)設(shè)施中有一個(gè)方面卻大大落后了——極少有企業(yè)會(huì)對(duì)虛擬化安全提出要求。

所謂虛擬化安全就是采用虛擬化原理，在虛擬化數(shù)據(jù)中心內(nèi)創(chuàng)建一個(gè)彈性的邏輯安全層的安全技術(shù)。由于虛擬化環(huán)境獨(dú)特的動(dòng)態(tài)特性，傳統(tǒng)的靜態(tài)安全措施往往不敷使用，不僅難以管理動(dòng)態(tài)虛擬服務(wù)器池周邊的靜態(tài)安全設(shè)備，而且靜態(tài)安全還有可能會(huì)遮掩虛擬化所帶來(lái)的好處。

虛擬機(jī)的封裝和便攜性可以解放虛擬服務(wù)器，可以讓它們很方便地從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器上去。但如果安全環(huán)境不允許這么做的話，你就不得不強(qiáng)迫虛擬服務(wù)器不能遷移。幸運(yùn)的是，虛擬化安全市場(chǎng)在今年已逐漸獲得了更多的關(guān)注。

到目前為止，大多數(shù)虛擬安全產(chǎn)品要么是基于虛擬設(shè)備的，要么就是部署在虛擬機(jī)內(nèi)部的安全代理。這雖然給了它們以靈活性，但同時(shí)也限制了對(duì)虛擬機(jī)“內(nèi)部”的訪問(wèn)。來(lái)自VMware的新的解決方案或許能改變下注的籌碼，為新生的虛擬安全市場(chǎng)注入動(dòng)力。VMware最近所發(fā)布的VMSafe計(jì)劃將為虛擬安全服務(wù)提供一個(gè)框架，并能為與虛擬機(jī)和hypervisor交互作用的虛擬安全服務(wù)提供必要的API。

這組API可以讓虛擬安全工具檢查和過(guò)濾虛擬機(jī)的所有內(nèi)存、CPU、進(jìn)程、存儲(chǔ)以及網(wǎng)絡(luò)流量。還賦予了安全解決方案這樣的能力：即可在虛擬機(jī)上運(yùn)行，又能保持與虛擬機(jī)內(nèi)各種惡意程序的完全隔絕。在操作系統(tǒng)上運(yùn)行的安全代理解決方案可以被惡意軟件終止或破壞，而虛擬安全解決方案則不同，它處在不會(huì)被操作系統(tǒng)觸及到的地方。

虛擬安全技術(shù)會(huì)產(chǎn)生兩種影響。短期來(lái)看，它會(huì)讓企業(yè)克服保障虛擬化環(huán)境的安全所帶來(lái)的困難。安全工程師可以利用虛擬安全技術(shù)構(gòu)建支持虛擬服務(wù)器的安全解決方案，同時(shí)又不會(huì)傷及一些重要的虛擬化功能，如虛擬機(jī)的資源池和實(shí)時(shí)遷移（VMotion、XenMotion等）。長(zhǎng)期來(lái)看，虛擬安全可以利用虛擬化原理讓安全達(dá)到一個(gè)全新的層次。

當(dāng)然，虛擬安全不僅僅是可以讓虛擬機(jī)工作得更好，更重要的是引入了全新的安全概念。和移動(dòng)的安全環(huán)境理念一樣，須以接近實(shí)時(shí)的速度，從一臺(tái)安全設(shè)備遷移到另一臺(tái)（FWMotion？IPSMotion？），協(xié)調(diào)安排好動(dòng)態(tài)安全策略的預(yù)配置，管理好其他可創(chuàng)建虛擬機(jī)（服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等等）的資源。所以，我們要問(wèn)的不是安全能為虛擬化做什么，而是要問(wèn)虛擬化能為安全做什么！(51cto)