服務器虛擬化安全隱患五大策略服務器虛擬化正在推動著當前的數據中心改造。這種技術提高了可用性，削減IT成本和支持將來的業務增長。服務器虛擬化能夠讓機構更好地預備好應對更廣泛的云計算機會和基于服務的計算機會。在降低成本的同時提高效率的需求正在推動虛擬化技術的快速應用。

在不確定的經濟狀況下，服務器虛擬化仍在連續增長。然而，虛擬化的快速應用能夠引起顛覆性的特征(也就是說完全改造的基礎設施和供應新的模式)，轉變數據中心自然的秩序和引起平安問題。

企業愛護自己的虛擬服務器環境的平安是特別重要的，特殊是虛擬化不僅已經在服務器中更普遍的應用，而且在存儲、操作系統、臺式電腦和網絡資源等方面也在廣泛應用。下面看一下機構擔憂的虛擬服務平安的主要問題，以及如何更好地掌握這些問題，同時為虛擬化進一步向數據中心普及做好預備。

解除服務器虛擬化平安隱患之管理、責任和政策

管理虛擬化的主要問題是誰負責虛擬資源。與物理服務器不同，物理服務器由在這個物理區域的管理員直接負責，虛擬服務器的責任通常是不明確的。當涉及到虛擬化的時候，會消失如下問題：誰負責、誰應當擁有訪問權、誰應當配置和保證這個環境的平安?這個責任是應當由業務部門、服務器管理員還是一個集中的主管理員負責?

當設法解決這些問題時，遵循的一個簡潔的規章是對待重要的虛擬服務器應當像對待物理服務器一樣實行同樣的掌握措施。例如，假如你沒有把你的SAP服務器的根口令供應給主要管理員以外的其他人，對于你的虛擬SAP服務器也要制定同樣的規章。

應用平安虛擬解決方案定義和管理整個新的環境中的政策。當遇到虛擬平安的問題時，IT管理員需要制定正確的政策平安地愛護自己的系統。然而，這些政策必需足夠敏捷以保證它們沒有太多的限制。IT管理員需要詢問使用當前的平安政策是否可以實現服務器虛擬化的全部好處。一個抱負的解決方案是通過保證虛擬化不繞過現有的平安掌握措施讓用戶保持對自己的基礎設施的掌握。這需要高水平的集中批準和掌握。

解除服務器虛擬化平安隱患之遵守法規

隨著一些虛擬服務器變成擁有極少掌握的看不見的網絡，就會消失遵守法規的問題。對于沒有特地負責監視每一臺主機內部虛擬機的全部互動狀況的數據中心管理員來說，這是很成問題的。隨著虛擬化連續向主流應用進展，有很多遵守法規的強制規定將不行避開地影響到虛擬化的應用。例如，這些遵守法規的強制規定之一是PCI-DSS(支付卡行業數據平安標準)。

在零售行業，定義信用卡處理的規定(PCI-DSS要求2.2.1)要求企業每臺服務器僅執行一項功能。這使人們對這個規定有很多解釋。有些零售商或許把這個規定解釋為每臺物理服務器僅執行一項任務。有些企業僅把這項規定嚴格地限制在部署虛擬服務器方面。由于標準模糊不清，單個的企業正在實行不同的方式使用虛擬化技術處理信用卡信息。這會暴露持卡人的數據和沒有使用新的行業規定遵守法規，從而引起企業的風險。使用一個有閱歷的綜合者解決這個問題。PCI平安標準委員會最近恢復了一個特殊愛好組，以澄清審計人員和用戶在虛擬化方面遇到的一些問題。這個愛好組將在2022年年底之前供應第一輪建議。

在處理服務器虛擬化的遵守法規的問題，企業需要理解自己的風險。建立一個平安的審計跟蹤作為遵守內部和外部審計者規定的證明，實時報警和聯合流程仍是虛擬環境優先考慮的事情。假如一家公司能夠現實地處理自己的風險，它就很簡單解決審計者擔憂的問題并且保證能夠修復任何問題。

隨著他們允許機構保持老式的服務、操作系統和應用程序，同時連續推動數據中心優化的努力，虛擬機將更加流行。

因此，沒有一個管理這些老式系統的撤銷過程的明確的方案，就會存在風險并且會給企業帶來新的重大平安風險。有一種推想認為，老式系統中使用的平安措施能夠在虛擬化環境中供應同樣的平安愛護。企業把老式的平安措施當作平安系統是擔心全的，不會以同樣的方式發揮作用，從而使企業簡單遭到平安攻擊。

解除服務器虛擬化平安隱患之保證虛擬化平安并監視虛擬化

把服務器虛擬化推廣到生產環境的一個重要挑戰是保證平臺的平安并且進行監視以便解決平安漏洞。與在裸機上運行的操作系統/應用程序不同，在一個虛擬化平臺上運行的虛擬機是這個系統的活動部件。虛擬機管理員能夠復制和把虛擬機鏡像從一臺服務器遷移到另一臺服務器，在遷移中攜帶那個虛擬機、操作系統和支持的應用程序等全部內容。IT部門還能夠在運行狀態暫停、拷貝和把虛擬機從一臺服務器遷移到另一臺服務器。

當然，這種敏捷性還會產生平安漏洞。隨著虛擬機的不斷的上線和下線，或者依據需要從一臺服務器遷移到另一臺服務器，平安掌握措施需要反映這些變化。此外，隨著虛擬機從一臺服務器遷移到另一臺服務器，這些虛擬機或許會為傳統的防火墻檢測不到的危急和攻擊放開大門。處理這種平安漏洞的一個抱負的方法是利用高級記錄大事管理技術。這使企業能夠監視各種虛擬化基礎設施組件以便檢測虛擬化平臺中將發生什么事情。這包括監視詳細的大事、失敗的登錄和其它可以認為是違法政策的活動。這種技術還能夠讓機構具體地理解有權限的用戶能夠對單個虛擬機做什么。

由于虛擬機的設置和運行時間都比傳統的物理服務器更短暫，這將引起額外的擔憂。這產生了一些風險狀況。在這種狀況中，虛擬機不行能上線進行平安掃描、升級和使用補丁。當發生故障的時候，找到故障緣由也是很困難的，由于虛擬機不斷地建立和撤銷，快照和檢查點常常退回重來。機構部署目前可用的軟件管理解決方案管理離線虛擬機和物理服務器以避開這些平安問題是特別重要的。

由于數據中心的虛擬機數量比物理服務器的數量多，保證這些虛擬機避開遭到病毒攻擊是比較簡單的。由于虛擬機數量更多，病毒能夠成倍地傳播，攻擊的服務器數量要把純物理服務器環境中攻擊的服務器數量多。傳統的網絡管理工具看不到虛擬機與虛擬機之間的通訊。要在這種狀況下供應關心，不同物理服務器上的虛擬機池需要在自己的專用網絡上相互溝通，能夠完全訪問共同身份識別和加密等平安功能。

虛擬機鏡像將保留在文件中。結果，由于這些文件很簡單復制，這就增加了風險。有一些可用的選擇可以管理這些特別問題。虛擬機鏡像本身中的隱秘數據不應當輕松地訪問。最起碼的是企業應當加密這些數據或者把這些數據存儲到其它的存儲位置(這可以是虛擬的或者物理的)。此外，加強管理來自網絡的虛擬機鏡像能夠更嚴格進行掌握，保證最低限度地訪問這些鏡像和增加身份識別。

解除服務器虛擬化平安隱患之虛擬機擴散和移動

很多企業日益擔憂虛擬機擴散問題。除了日益增加的管理簡單性和日益提高的數據中心成本之外，人們還日益擔憂缺少可用的掌握措施避開業務部門經理自己創新大量新的虛擬服務器。使這種擔憂更加嚴峻的是這些新的服務器或許是在沒有保證適當管理和平安的狀況下創建的。

與虛擬機擴散和輕松地在物理服務器之間遷移虛擬機有關的一個重要問題是支持環境的可持續性。這個主要問題是不同的虛擬機工作量通常有不同的與存儲、計算和網絡有關的要求。掌握這個風險需要明確地關聯虛擬機工作量和適當的要素分類，以及確保維持必要的平安態勢。

當考察軟件管理解決方案的時候，企業有必要評估他們支持基于政策的向這個環境動態安排虛擬機的力量。這種力量通常稱作“沙箱”。沙箱是隔離運行的應用程序的一種平安機制。沙箱常常用來執行沒有經過測試的代碼或者沒有經過驗證的第三方、供應商或用戶的應用程序。這種方法通過阻擋應用程序向沙箱外部寫數據的方法來保證應用程序的平安，阻擋進入系統的病毒和其它惡意活動進行破壞。

保持全部相關活動的審計記錄也是特別重要的。一個有關正在運行的狀況的漫游快照能夠讓管理員回去進行驗證、優化和監視用戶活動，并且保持一個精確?????的快照。通過運行在同一個沙箱中的與遵守法規有關的應用程序，與其它更一般的應用程序隔離開，企業能夠削減數據泄漏的風險。這允許企業保持一個適當的平安態勢并且依據傳統的數據分類根據政策隔離虛擬機。

為了削減虛擬機擴散，企業應當利用一些時間培訓管理員有關虛擬基礎設施開發、管理和平安的學問。他們要求明確地理解虛擬化技術和虛擬化技術與傳統的IT基礎設施的區分。IT人員必需有正確的工具進行有效的管理。但是，IT人員還需要進行培訓以正確地管理這個新的基礎設施。

解除服務器虛擬化平安隱患之平安改進

機構能夠連續改善他們的平安態勢。下面是一些額外的建議：

·削減服務器關機時間。虛擬機能夠在完全運行的時候進行備份，因此要確認你的系統在連續運行以保證明時備份。假如一個系統發生故障并且管理員執行了實時備份或定時快照，系統會很快恢復。假如恢復是必要的，那么，退回重來就像提取最新的快照一樣簡潔。

·改善IT效率。企業利用一個批準的黃金鏡像能夠實現增加的平安性和管理性。這個黃金鏡像為一個桌面供應各種存儲在防火墻后面的用戶資料。這樣做企業能夠顯著改善生產率，關心改善IT運營。這種做法就是保證每一個使用的虛擬機都是依據經過批準的黃金鏡像制作的，無論這些虛擬機用于開發、測試或者生產都是如此。

·提高敏捷性。為了向一切都是服務的模式的過渡，企業能夠定義和應用合適的數據分類和分別。這還能夠使企業更輕松和更自信地恰當地選擇專有的和公共的云計算解決方案。這是由于虛擬化能夠參考SOA讓實施更便