虛擬化安全：安全領(lǐng)域的下一個主戰(zhàn)場

申請免費試用、咨詢電話：400-8352-114

正在采用虛擬化技術(shù)的企業(yè)數(shù)量正以越來越快的速度增長。它們正在把服務(wù)器、桌面、存儲和網(wǎng)絡(luò)統(tǒng)統(tǒng)地虛擬化。但是，在基礎(chǔ)設(shè)施中有一個方面卻大大落后了——極少有企業(yè)會對虛擬化安全提出要求。

所謂虛擬化安全就是采用虛擬化原理，在虛擬化數(shù)據(jù)中心內(nèi)創(chuàng)建一個彈性的邏輯安全層的安全技術(shù)。由于虛擬化環(huán)境獨特的動態(tài)特性，傳統(tǒng)的靜態(tài)安全措施往往不敷使用，不僅難以管理動態(tài)虛擬服務(wù)器池周邊的靜態(tài)安全設(shè)備，而且靜態(tài)安全還有可能會遮掩虛擬化所帶來的好處。

虛擬機的封裝和便攜性可以解放虛擬服務(wù)器，可以讓它們很方便地從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器上去。但如果安全環(huán)境不允許這么做的話，你就不得不強迫虛擬服務(wù)器不能遷移。幸運的是，虛擬化安全市場在今年已逐漸獲得了更多的關(guān)注。

到目前為止，大多數(shù)虛擬安全產(chǎn)品要么是基于虛擬設(shè)備的，要么就是部署在虛擬機內(nèi)部的安全代理。這雖然給了它們以靈活性，但同時也限制了對虛擬機“內(nèi)部”的訪問。來自VMware的新的解決方案或許能改變下注的籌碼，為新生的虛擬安全市場注入動力。VMware最近所發(fā)布的VMSafe計劃將為虛擬安全服務(wù)提供一個框架，并能為與虛擬機和hypervisor交互作用的虛擬安全服務(wù)提供必要的API。

這組API可以讓虛擬安全工具檢查和過濾虛擬機的所有內(nèi)存、CPU、進程、存儲以及網(wǎng)絡(luò)流量。還賦予了安全解決方案這樣的能力：即可在虛擬機上運行，又能保持與虛擬機內(nèi)各種惡意程序的完全隔絕。在操作系統(tǒng)上運行的安全代理解決方案可以被惡意軟件終止或破壞，而虛擬安全解決方案則不同，它處在不會被操作系統(tǒng)觸及到的地方。

虛擬安全技術(shù)會產(chǎn)生兩種影響。短期來看，它會讓企業(yè)克服保障虛擬化環(huán)境的安全所帶來的困難。安全工程師可以利用虛擬安全技術(shù)構(gòu)建支持虛擬服務(wù)器的安全解決方案，同時又不會傷及一些重要的虛擬化功能，如虛擬機的資源池和實時遷移（VMotion、XenMotion等）。長期來看，虛擬安全可以利用虛擬化原理讓安全達到一個全新的層次。

當然，虛擬安全不僅僅是可以讓虛擬機工作得更好，更重要的是引入了全新的安全概念。和移動的安全環(huán)境理念一樣，須以接近實時的速度，從一臺安全設(shè)備遷移到另一臺（FWMotion？IPSMotion？），協(xié)調(diào)安排好動態(tài)安全策略的預(yù)配置，管理好其他可創(chuàng)建虛擬機（服務(wù)器、存儲、網(wǎng)絡(luò)等等）的資源。所以，我們要問的不是安全能為虛擬化做什么，而是要問虛擬化能為安全做什么！(51cto)