企业虚拟化环境中的安全防护

李宇宏

（吉林省地方税务局，吉林 长春 130022）

1 虚拟化技术的优势

1.1 提高硬件资源的利用效率。在我国网络环境越来越膨胀的背景下，服务器的耗电成本、散热成本以及空间成本也越来越高，这都会影响计算机硬件资源的利用效率。因此，虚拟化厂家也将目标放在了“单个物理服务器可以运行多个操作系统环境”上。这样网页服务器和数据库等系统服务都可以在单个的操作系统上运行，而在同一个物理服务器上，多个操作系统也是可以同时运行的，从而有效的解决了计算机硬件资源利用效率低的问题，同时也保持了服务间隔。

1.2 降低运营成本。在传统的物理系统中，当机房需要扩建或是硬件需要更新时，企业要想采购新设备就会产生一笔较大的花销。而如果应用了虚拟化环境，IT设备的采购费用就会大幅度的降低。首先，由于虚拟化环境所能实现的资源共享功能，这样在虚拟化环境中就能将各种硬件设备整合到一起，有效的降低了机房的运营维护成本；其次，在越来越多的低成本硬件上VMware都已经得到了认可，并且随着技术的发展，此套件也能够与企业的工作负载条件良好的适应了，所以其将会产生更大的成本节约空间。

1.3 管理上的优势。企业如果应用了虚拟化的环境，那么就能够将IT管理人员整合起来，一名管理人员管理上千台服务也是有可能的，机器的运行效果得到了提升，同时也提高了企业员工的工作效率。而要想充分的发挥出虚拟化技术在管理上的优势，其前提条件就是必须建立完善的组织架构。

2 企业虚拟化环境中的安全问题

2.1 隔离。要想安全的整合服务器，从而实现多个虚拟机在一台物理服务器上有效运行，虚拟化使用逻辑隔离来体现物理独立的感觉。这样我们就无法判断主机是否是出于隔离的状态，要想确认其是出于隔离的状态的，就必须借助虚拟机管理程序和其他以软件为基础的组件。而怎样才能正确的包含信息呢？管理人员就应时刻关注可能会对网络隔离和虚拟机产生影响的配置设备，并且在整个基础架构中，还应实时的监控会导致敏感数据泄漏的变更。

2.2 虚拟机的移动性。在虚拟化的语言中，所谓的移动性就是指虚拟机会自动的将其本身和资源重新定位到另一个位置。而在实现此功能的过程中，也会产生一定的问题。如果是在传统的数据中心中，物理服务器就可以被准确的放置在某一个插槽上，而如果是混合数据中心，虚拟机就无法简单的定位。当配置了可移动性后，虚拟机就可以轻松的定位到另外一台物理服务器上，这种移动性充分的保证了数据中心的灵活性，大幅度的节约了开支和时间，但同时也容易产生类似于笔记本电脑和大型动态主机配置协议环境的安全问题。

2.3 虚拟网络的安全性。应用了虚拟化技术后，在数据中心内，服务器和网络就不再是两个独立区分的层了，一些复杂的网络环境在服务器本身的界限是虚拟化的，它们能够实现服务器中的虚拟机通信，并且也能够享受到所有传统的网络装置所使用的相同特性。在虚拟化的数据中心中，一个物理端口就可能表示上百台虚拟服务器，这就会加大我们保证数据中心网络安全性的难度。在同一台物理服务器中，不同虚拟机的网络流量是不会离开主机的，同时传统的网络安全装置也不会检测到它。而要想有效的保护这些盲点，就应在虚拟基础架构中添加附加保护层。

2.4 操作职责的分离。职责分离和最小特权的策略可以用于限制企业IT管理员执行日常任务和管理资源的权限。服务器管理人员是管理服务器的直接责任人，而网络管理人员则是管理网络的直接责任人，而安全管理工作则是由安全团队负责，这些部门之间是有着分界线的，而随着虚拟化技术的出现则改变了这一现象，通过一个虚拟管理控制台就可以同时管理网络和服务器中的人物，但是却也同时出现了新的运营问题。组织应能够准确的访问管理的身份和策略，组织不应分配给无关人员过多的权限，而是应由安全专业人士和服务器的管理人员来负责对虚拟环境的管理和维护工作，从而保证企业虚拟化环境的稳定和安全。

3 企业虚拟化环境中的安全防护解决方案

3.1 趋势科技的Deep Security。这类API端口在虚拟化平台中成功的引入了自身的防毒处理技术，在终端不需要安装代理，杀毒的效率也得到了极大提升，其主要是由Deep Security代理、Deep Security管理器和安全中心三个部分组成的。其工作原理为：Deep Security代理首先会接收到管理器中的安全配置，其主要包括对服务器强制执行的防火墙、日志审计规则以及深度数据包检查，之后会逐个服务器上安装的所有软件，从而确定哪些规则是适用的，创建包含所有规则监控活动的事件并将其发回给Deep Security管理器。之后管理器会对安全中心发出咨询，从而及时的进行安全更新。Deep Security代理、Deep Security管理器以及安全中心三者之间的通信都是相互验证的SSL所保护。此外，安全中心还能实时监控漏洞信息的公共和私有源，从而保护正在使用的应用程序和操作系统。

3.2 vShield。对于那些既想保证控制力、遵从性和安全性，又想充分的利用云计算优势的企业来说，那么建议企业应用VMware vShield这一安全解决方案。其可以有效的防范网络病毒的入侵，充分的提高端点上的防病毒和恶意软件的防护性能，保证敏感数据的控制力和可见性，从而最大限度的保证企业数据和应用程序的安全。

结语

通过以上的论述，我们对虚拟化技术的优势、企业虚拟化环境中的安全问题以及企业虚拟化环境中的安全防护解决方案三个方面的内容进行了详细的分析和探讨。作为我国IT行业中新兴产品，虚拟化技术有着其独特的优势，其在管理上、成本上以及硬件的利用效率上都有着明显的优势，同时企业虚拟化环境的安全防护工作也迎来了新的挑战，因此，我们应针对企业虚拟化环境中的各类安全隐患，充分的了解主流的虚拟化安全防护产品，从而为企业虚拟化环境的安全防护工作提供支持和保证，保证我国企业的健康发展。

[1]卢建平.虚拟化系统中的攻击与防护模型演技[J].武汉大学学报，2013.

[2]徐晓贝.企业私有云虚拟网络的安全监控研究[J].中国科技信息，2013.