A：2007年，数据中心在虚拟化方面的最大问题还是“它能为企业节省多少资金与时间”。而到2008年，这个问题将演变成“我们到底安不安全”。

　　这的确是一个棘手的问题。 市场上已有许多的厂商和咨询机构都在倾力推销有风险和安全冲突预防功能的安全产品和服务。 同时，某些安全研究员也在鼓吹理论上存在的风险，比如针对Hypervisor的恶意软件的兴起。Burton Group的高级分析师Chris Wolf表示“人们对虚拟化颇有微词。”

　　当2007年虚拟机开始大行其道的时候，许多IT部门皆表示他们会把运行速度作为首要考量。(不必惊讶，因为大部分企业都是从测试和应用开发箱入手来推进虚拟化实施的，而不是运行核心商业应用的服务器。)

　　“我们发现安全问题在虚拟化搭建的过程中是一个被遗忘的角落，”IDC企业系统管理软件研究总监Stephen Elliott说道。 “看看现在虚拟机的数量，的确是让人捏一把汗。” 根据IDC的调查显示，有75%规模超过1000人的企业已经开始采用虚拟化。

　　Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会上预测，到2009年，60%虚拟机的安全性将大大弱于相应的物理服务器。

　　安全专家Chris Hoff指出，目前大部分关于虚拟化安全问题的探讨都是流于表面，人们通常是拿虚拟服务器与物理服务器来比较说事。

　　Hoff表示这种思考方式有欠妥之处，在他的博客上经常有关于这类课题和服务器的文章。 其实人们应该问自己“你是否已经将你所知的都运用到了虚拟化环境中?”

　　“人们对这些论调感到紧张，其实在真实环境中你还是可以采取一些措施的，”Hoff说道。 当然，虚拟化确实带来不少新的安全问题，但凡事总有个缓急，他说： “我们要注重务实。 我们需要像搭建物理网络架构那样去搭建虚拟网络。”

　　某些IT部门都犯了一种根本的错误： 他们让服务器组单枪匹马地去进行虚拟化工作 – 而把IT团队的安全、储存和网络专家关在了门外。 这将会造成与虚拟化技术或产品内在缺陷无关的安全问题。 “其实这是一次整合团队的绝佳机会，”Hoff解释道。

　　Burton Group的Wolf认为“虚拟化中有90%的工作都是靠规划，而规划必须有整个团队的参与，其中包括网络、安全和储存团队。”

　　但事实却并非如此，大部分IT团队推进虚拟化的速度太快，以至于他们自己有点跟不上。 倘若你没有与专家一起规划虚拟化， 那么扩展虚拟机数量并在虚拟机上运行大型应用就是一件令人担忧的事了。

　　“想要迎头赶上，你可以从利用工具或聘请专家来审查虚拟基础架构入手，”Wolf建议道。 “然后将一个大目标拆分成若干个小目标来逐步完成。” (Wolf建议采用CiRBA 和 PlateSpin的审查工具)

　　下面我们来详细看看企业打造安全虚拟化的10大步骤：

　　1. 控制虚拟机增长过快

　　Arch Coal公司的CIO Michael Abbene一语道出了虚拟机增长过快所带来的问题： 创建虚拟机只要几分钟。 它们的确能很好地隔离一定程度的计算工作。 但你拥有的虚拟机越多，你所面临的安全风险就越高。 你最好能对所有的虚拟机都保持追踪。

　　“我们会先从虚拟化简单的测试和开发箱入手，”Abbene说道。 “继而转向小型的应用服务器， 然后逐步扩大。 我们知道一步登天只会增加我们的风险。” 该公司目前拥有45个虚拟机，其中包括活动目录服务器和一些应用和网站服务器。

　　那么该如何控制服务器增长过快呢? 有一个方法： 像创建物理服务器一样地去创建虚拟服务器或虚拟机。 在Arch Coal公司，IT团队对创建新的虚拟机的审核很严格： “人们所要经过的审批流程就如同物理服务器无异，”Arch Coal的微软系统专家Tom Carter说道。

　　本着这个目的，Arch Coal的IT部门通过变革控制小组(由服务器、储存等部门的IT员工轮替组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了。

　　VMware的 VirtualCenter 管理工具与Vizioncore的工具能帮助IT管理虚拟机的增长过快。

　　IDC的Elliott表示 “虚拟机的增长过快是一个大问题，它会导致在管理、维护和生产上的落后”。 同时，如果你无法有效的控制虚拟机的数量，那些出乎意料的管理问题也会造成成本激增。

    2. 将你现有的流程应用到虚拟机上

　　虚拟化最大的魅力或许就在于它的速度： 你可以在几分钟内就创建一个虚拟机，并在一天之内就为你的商业部门提供新的动力。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重，要让虚拟化成为你现有IT流程的一部分，并且将预防安全问题放在第一位，IDC的Elliott说道。 你会逐渐发现更多令人头疼的管理问题。

　　“流程很重要，”他说。 “考虑虚拟化不仅要站在技术的角度，而且还要从流程出发。” “比方说，如果你是使用ITIL来引导你的IT流程，那么你要事先考虑如何将虚拟化融入到那个流程框架里，”Elliott建议说。 如果你是使用其它IT最佳实践，也要考虑到融合的问题。

　　Hoff给我们举了个例子： “如果你有一个服务器强化文件(指新服务器的安全和安装标准)，你就应当在你的虚拟服务器上依样画瓢”。

　　在Arch Coal公司，Abbene的IT团队也是这么做的： “我们采用最佳实践来确保物理服务器的安全，并将此照搬到每一台虚拟机上，”Abbene说道。 通过像强化操作系统，在每一台虚拟机上运行防护软件，确保补丁管理，保持虚拟箱符合同样被应用在物理服务器上的流程这样的步骤，他说。

　　3. 从你现有的安全工具入手，但要保持谨慎

　　你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 不。从你现有的安全工具入手，将它们运用到虚拟环境中会更务实，Hoff说道。 但你要给厂商一点压力，告诉他们该如何密切留意虚拟化的风险，以及如何与其它产品保持集成。

　　“在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的观点，”IDC的Elliott说道。 “市场上有些安全工具早就加入了虚拟化的概念。 这意味着你必须要给厂商更多的压力”。

　　“不要以为平台工具(比如VMware工具)对你来说已经足够，”Elliott说道。 “你要把目光瞄向遗留管理厂商。 给那些遗留厂商一点压力，让他们去多做一些，并为他们提供指引。”

　　Mazda North America的CIO Jim DiMarzio就在他的企业中采用了这套战略。 如同Arch Coal公司一样，Mazda NA在其虚拟服务器的核心上运行了VMware的ESX Server 3软件，并在最近增加了虚拟机的数量。 DiMarzio表示他希望在2008年3月前拥有150架虚拟机。他使用虚拟服务器来作为活动目录服务器、打印服务器、CRM应用服务器和网站服务器 – 最后这项是一个关键任务应用，因为Mazda使用这些网络应用来向其所有的经销商提供信息，DiMarzio说道。

　　为了保障这些虚拟机的安全，DiMarzio决定继续使用他现有的防火墙和安全产品，包括IBM的Tivoli Access Manager, Cisco firewall tools，以及Symantec’s IDS monitoring tools。

　　在Arch Coal公司，Abbene与他的团队都在使用他们现有的安全工具，还有BlueLane 和 Reflex Security的调查工具。 “那些安全与变革厂商都在努力迎头赶上，”Abbene说道。

　　比方说，BlueLane的VirtualShield就宣称它甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全，自动扫描潜在的问题，升级问题区域，并保护它远离远程威胁的侵害。

　　Reflex Security的Virtual Security Appliance (VSA)是少数需要引起关注的产品之一，它对虚拟入侵检测系统(IDS)尤其有用，在虚拟机所在的物理箱中为其添加了一层安全策略。 这可以防止Hypervisor免遭攻击，Abbene的团队表示。

　　Abbene表示他的IT团队也讨论了添加第二个内部防火墙来进一步隔离虚拟机的事宜，但他担心这会对虚拟应用的使用造成影响。

　　IDC的Elliott表示还有一些其它的虚拟化安全工具值得IT去关注： 比如PlateSpin就是一款著名的从物理到虚拟的工作负荷转换和管理工具; Vizioncore是一款文件层次备份工具; Akorri是一款绩效管理和工作负荷平衡工具; 而最近被Dell收购的储存厂商EqualLogic以其 iSCSI 储存区域网络(SAN)产品来优化虚拟化而闻名。

　　4. 了解内嵌式Hypervisor的价值

　　或许你早已听说过“内嵌式”Hypervisor，这是IT管理人必须了解的词汇。 服务器上的Hypervisor层是虚拟机的根本。 VMware近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的不包含OS的应用。 (没有OS也就意味着没有OS维护上的麻烦。)

　　像DELL和HP等硬件厂商近期都表示他们会在服务器出货时预装这种内嵌式VMwareHypervisor。 基本看来，内嵌式Hypervisor因为相对较小，所以更安全，IDC的Elliot表示。 “代码库越大，受攻击的可能性也越大，这由你选择的架构而定。”

　　内嵌式Hypervisor将会成为未来的一大趋势，Elliott表示，越来越多的服务器厂商会使用它们，有些厂商以前不使用的也会使用它们。 Phoenix Technologies是一家BIOS软件领域的龙头厂商，近期它宣布加入Hypervisor的阵营，第一款产品将命名为 HyperCore： 这是一款针对桌面型和笔记本电脑的Hypervisor，它能让用户在开机后就能使用网页浏览器和email客户端，而不需等到启动windows。 (HyperCore将会被嵌入到电脑的BIOS中。)

    Hypervisor市场的竞争与创新对企业来说未尝不是一件好事，Hoff说道。 它能激励厂商争相提供更加瘦身、智能的Hypervisor软件。

　　“不管它是Phoenix还是其它厂商，这场有趣的战争都会带领Hypervisor成为下一个卓越的OS，”Hoff说道。

　　降低受攻击的可能性并非嵌入式Hypervisor的唯一强项。 Mazda的IT小组正期待即将到来的预置了VMware ESX server的DELL服务器， Mazda的IT系统经理Kai Sookwongse表示，“我们所期待的功能之一是所有的VM镜像都能在SAN上展现，”Sookwongse 表示。

　　“当我们启动服务器时，它能从SAN的镜像上启动。”这种集中管理与安全的方式也意味着Mazda能够订购一台没有硬盘的服务器，从而达到物理安全的目的，他说。

　　5. 不要给虚拟机指派过度的权限

　　务必牢记，在你对虚拟机指派管理级别的访问权限时，你就等于授权访问那台虚拟机的所有数据。 Burton Group的Wolf建议你仔细斟酌备份管理人员需要哪些帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的， Wolf补充道。 “这些厂商甚至连自己没有遵照VMware关于VMware Consolidated Backup的最佳实践来执行”。

　　Arch Coal公司就限制了虚拟机的管理访问权限，该公司的信息安全管理员Paul Telle表示他的同事Tom Carter以及Carter的上司是公司中为数不多的拥有最高权限的小组成员之一。

　　应用开发员的访问权限要尽量降低。 “我们要么降低应用开发人员的访问权限，要么让他们进行共享访问，他们无法访问OS，”Carter说道。 这帮助公司控制了虚拟机的增长，同时提高了安全性。

　　6. 注意你的储存

　　某些企业如今在SAN上的储存有些过度，Wolf说。 这不是总体储存太多的问题，而是你有可能让一台错误的虚拟机共享了部分的SAN，他说。

　　如果你使用的是VMotion，那么你就等于在SAN上分配了部分区域。 你要使那些储存分配更加区位化，Wolf建议道。 N-port ID虚拟化就是一种可以让IT分配储存到虚拟机上的技术， 这是一种值得深入研究的技术，Wolf说道。

　　7. 在网络分区中确保良好的隔离

　　随着企业走向虚拟化，他们不该忽略网络流量上与安全有关的风险。 但某些风险的确容易被忽略，尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。 “许多企业仅仅使用绩效作为度量方式来加强整固，”Wolf说道。 (在评估定位哪些应用服务器在物理箱中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理箱承担太多的负荷。) “他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起，”Wolf说道。

　　比方说，某些CIO决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。

　　如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器，Wolf说道。

　　Abbene说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

　　他们在内部局域网中展开虚拟服务器，不面向公众。 “这是早期一个关键的决定，”Abbene说道。 比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器; 那就没有必要将虚拟机引入那块领域，他说。

　　8. 交换上的隐忧

　　“某些虚拟交换机如今被当Hub来用： 在虚拟转换机中，每一个端口都被映射到其它端口上，”Wolf说道。 Microsoft Virtual Server就是这样。 而VMware的ESX Sserver则不会，Citrix XenServer也不会。 “人们一听到‘交换机’就会认为有分隔存在。 其实它是根据厂商的不同而不同的”。

　　Microsoft声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中被解决，Wolf补充道。

    9. 监控桌面与笔记本电脑上的“流氓”虚拟机

　　服务器并不是你唯一要担心的。 “最大的隐患是在客户端 – 流氓虚拟机，”Wolf说道。 什么是流氓虚拟机? 记住，你的用户能够下载并使用像VMware Player这样的免费程序，这能让桌面型和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。

　　许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来区分工作，或区分公事与私事。 有人使用VMware Player来运行多重系统; 比如使用Linux作为基本系统，但是在Windows应用上创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)

　　“通常，这些虚拟机甚至都没有达到补丁级别，”Wolf说道。 “那些系统被暴露在网络上。 所有这些未被管理的操作系统都在到处漂浮。”

　　“这会给你增添很多风险，”Wolf说，并表示那些运行流氓虚拟机的电脑能够传播病毒 – 或更甚 – 传播到你的物理网络上。 比方说，人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。 最终，你将浪费大量的IT资源来追踪这些问题，“它甚至只是由一个简单的用户错误所引起的。”

　　那么你该如何避免流氓虚拟机呢? 你应当从一开始就控制那些拥有VMware工作站的人(因为他们需要安装虚拟机)。 IT也可以使用一个安全策略组来防止某种程度上的软件执行，比如针对那些需要安装VM player的人，Wolf说道。 另一个选择是： 定期审查用户的硬盘。 “你要找出那些装有虚拟机的电脑并将它们标记起来以备追踪，”他说。

　　这会转变成用户和IT之间的又一个冲突，技术熟练的用户希望能够象在家里一样的在公司电脑上使用虚拟机。 “而大部分IT部门都疏忽了这一点，”Wolf提醒道。

　　如果你允许用户在电脑上安装虚拟机，那么像VMware Lab Manager和其它管理工具都能帮助IT控制并监管那些虚拟机，他说。

　　10. 在计划预算时就考虑到虚拟化安全问题

　　“确保在虚拟化安全和管理方面分配到适当的预算，”IDC的Elliott说道。 你或许不需单独列出虚拟化安全预算，Arch Coal公司的Abbene说，但你的总体安全预算需要覆盖到这一部分。

　　同时，在你计算虚拟化投资回报的时候留意安全成本。 随着虚拟服务器的越来越多，“你的安全成本或许根本不会减少，”Hoff说，因此你要运用现有的安全工具来管理每一个你所创建的虚拟机。 如果你没有预料到这部分费用，那么它将吞噬掉你的投资回报。

　　根据Gartner统计，这是目前的一个通病。Gartner的副总裁Neil MacDonald在2007年10月的Symposium/ITxpo大会演说中提示道， 到2009年，约有90%的虚拟化部署都会生成未经预料的成本，比如安全成本， 从而影响到投资回报。