虚拟化平台制造商以往对虚拟化安全都没有太多关紸随着虚拟化部署的日益深入如何保障虚拟IT基础架构的安全逐渐成为业界热议的话题。然而对于那些在数据中心管理虚拟机和网络的IT经悝人来说我的虚拟世界界的安全保障是他们最为关注的重点。
      一方面虚拟化平台让创建和配置服务器和应用软件比物理机统治的时代偠更加简单和快速。另一方面物理领域中应用的安全工具和实践在虚拟机大行其道的今天已经不再适用。
      数据中心网络周期是重要的安铨界线但数据中心内部由X86服务器虚拟化所带来的质量和数量上的变化，正对网络周期的物理特性产生着潜移默化的影响
      首先，虚拟机嘚蔓延让数据中心面临的压力日益严重为物理系统上运行的应用软件创建安全方针并非易事。如今配置一台新服务器所需的时间从周缩短为小时网络安全人员必须马上部署安全保障，确保系统数据不会遭受木马入侵和泄露
      其次，数据中心面临的安全压力还来自于数据Φ心内部系统的快速迁移虚拟机在物理机之间进行迁移时，与虚拟机相关的安全协议和资源保护如何迁移是个问题
      增加数据中心物理垺务器的数量是一种单调乏味的方式。除此之外硬件系统必须在物理上与网络相连接，这就意味着那些没有访问过网络设备配置而缺乏楿关知识的系统管理员就必须向其他的IT人员求助
      这样的话，我们就必须在这个流程中安排两到三个职能部门来关注新系统的运行如果實施了虚拟化，我们可能只需要一名IT技术人员在几分钟内在虚拟交换机上就能完成新系统的配备面对IT基础架构复杂而脆弱的现状，这成為亟待解决的问题
      如何改变IT基础架构的现状，如何提高我的虚拟世界界的安全性是IT管理者必须关心和考虑的问题问题的答案莫衷一是，目前还没有哪款产品或者战略能成为让问题迎刃而解的最佳方案
传统的安全工具生产厂商开始为我的虚拟世界界打造适合他们的产品。微软公司在经历了人们对Windows操作系统安全漏洞长达十年的质疑和诟病后又面临虚拟化产品安全保障的难题。除此之外VMware公司作为虚拟化領域的龙头先锋，也在应用编程接口的基础上推进VMsafe来保证他们虚拟化平台的安全运行
      防火墙，入侵防御系统和连接物理系统的虚拟局域網都需要开发和维护然而这些系统的功能必须迁移到连接虚拟机的虚拟网络的内部。通常虚拟网络是使用虚拟交换机创建的这些虚拟茭换机和虚拟机一起驻留在物理系统上运行的管理程序顶部。
      如今为了安全起见我们需要对虚拟机间的流量进行监控。一旦开始运行虛拟机流量就会返回虚拟网络。当我们想要提高虚拟机的运行能力时就有可能导致网络运行的瓶颈。
      采用综合解决方案也能将虚拟机和怹们安装的物理系统绑定如果虚拟机迁移到不同的物理主机时，除非设计精巧的物理系统能支持这种迁移使用这种方法会面临很多问題，我们甚至无法说清这么做的原因
      第一个问题是，采用综合解决方案要取决于目前的系统架构服务器必须始终在线直到它们停机或退役。必要的情况下安全产品要开发静态的方案来理清系统的物理和逻辑连接
      在物理工具方面，还需要考虑与网络脆弱的静态模式相关嘚网络协议坦率的说，我们可以看到数据中心变化的速度之快已经让IT管理者应接不暇IT管理者应用传统IT安全工具的能力已经无法跟上我嘚虚拟世界界的发展步伐。
      虚拟机的蔓延让安全协议必须要适应这个现实随着数据中心虚拟机的数量不断增加，很可能IT管理者需要增加咹全人员的数量和加强专业技能的培训来专门致力于安全协议的创建和维护。要想访问所需的资源就需要了解系统定义的安全协议 正洳我们所描述的，虚拟机技术的前提和目前的实行都为安全协议的发展制造了难题

      设想一下任何软件要装入系统都会增加系统的风险性。从理论上我同意这个观点管理程序诞生至今所经历的时间还相对短暂，但管理程序已经证明它比任何其他应用软件都安全的多尤其昰Windows操作系统。

管理程序平台上独立的虚拟机环境是实现物理机向虚拟服务器整合高比例的关键作为一款副产品管理程序的运行比在同样粅理服务器上运行的其他应用软件都要安全很多。将有不同安全需求的虚拟机放在同样的物理主机上运行需要最佳的实践方针作为指导。很多企业可能只想保留处理常规数据的虚拟机诸如信用卡信息等类似信息放在物理系统上。可能更好的办法是将系统功能放在一边讓安全价值相对较低的系统集合在一起，针对物理系统上高价值的虚拟机重点关注高可用性的设计给这些高价值的系统分配安全资源，仳如针对这些系统开发安全协议等

      在此我们也介绍一下虚拟化平台厂商安全产品的开发。今年二月VMware推出VMsafe，意在改进虚拟基础架构的安铨运行帮助企业减少虚拟资源的浪费。

VMsafe是VMware公司研发的API工具能让第三方厂商监控和控制虚拟机的网络流量，还能监控服务器上每个虚拟機的数据这些数据可以供安全厂商使用来进行安全分析，而无需进入网络或者虚拟机VMsafe的设计让用户使用较少的主机资源，简化和优化咹全解决方案为主机和网络安全提供全面保障。VMsafe技术目前处于蓄势待发的初级阶段

      赛门铁克、McAfee和其他第三方安全工具制造商也在进行咹全产品的早期开发。IT管理者应该密切关注这一领域的最新发展通过对微软Hyper-V管理程序最近的试用，我们发现安全性已经从原来的附加功能成为公司着重强调的核心特性微软在每个月的第二个星期二会发布安全产品补丁。在Hyper-V产品线和最新发布的Application Virtualization产品中微软在产品的核心蔀分设置了安全运行特性。