【IT168 专稿】在过去的三年里，服务器虚拟化已从炒作阶段进入到主流领域，而桌面虚拟化是如今炙手可热的技术潮流之一。尽管虚拟化技术迅速得到了接受，但很少有企业认真考虑部署这项技术会给安全带来什么样的影响。

　　在许多情况下，虚拟化改变了安全领域的规则，企业需要对各自的安全战略进行相应调整。目前有一种普遍观点，以为安全根本不成问题；因为所有虚拟化服务器都驻留在企业网络内部的深处；因而自动得到了现有安全设备的保护。然而，与传统计算环境里面的关系相比，虚拟平台会导致IT资源之间出现完全不同、更加动态的关系，而这影响到网络安全。

　　如果企业已经有了虚拟化或计划采用虚拟化，就应该在安全方面考虑诸多因素。

　　要考虑的第一个因素：研究调查一番，弄清楚虚拟化到底意味着什么。

　　由于越来越多的安全泄密事件被暴露，厂商开发出专门的安全产品，人们对虚拟化安全的了解日益透彻。不过，同时不断需要满足严格的监管法规或合规准则，这就意味着虚拟化安全开始成为网络管理人员优先考虑的事项。

　　谈论虚拟化安全时，要考虑的第一个重要因素就是定义虚拟环境到底是什么，因为这将界定对网络构成的威胁类型。虚拟环境是指直接或间接涉及虚拟主机的一切。虚拟环境的部件包括但不仅限于管理工具、备份工具、存储系统、虚拟网络和物理网络。如果对虚拟环境定义不当，就会导致企业忽视一个重要的安全问题，从而危及整个网络。

　　要考虑的第二个因素：一开始就让IT安全小组参与进来。

　　促使虚拟化项目上马的最常见动因就是可以节省成本，这源于服务器整合。管理这种项目的通常是服务器管理员；而在许多大型企业，服务器管理员不是IT安全小组的成员；安全小组在项目的后期阶段才参与进来。

　　这种情形会导致这个局面：安全系统经过改造后堆砌到网络上，安全方面变得异常复杂。不过复杂的解决方案和规程加大了配置出错的可能性，结果实际上削弱了安全效果。Gartner公司近期的一份报告表明，99%以上的安全泄密事件是由配置不当引起的。

　　力求简洁是安全方面最重要的原则之一，所以企业要确保让安全小组参与到整个实施过程中来。

　　要考虑的第三个因素：物理安全设备会让你看不清虚拟环境。

　　虚拟环境是内部网络的一部分，很容易遭到安全威胁，所以对它要像对内部网络的其余部分那样予以足够有效的保护。防火墙等传统的物理安全设备存在一大缺点，原因在于它们无法了解虚拟环境的内部情况。虽然物理安全设备能够看清进出虚拟环境的每个数据包，但看不清内部流量情况。换句话说，如果某个虚拟机被感染，该虚拟机会传染到整个虚拟网络，物理安全设备却毫无察觉。

　　不管你在物理环境采用什么样的安全战略，虚拟化环境也要有一套同样的安全战略。如果你在应用程序之间以及网段之间采用内部防火墙机制，并开始对应用程序和网段进行虚拟化处理，或者甚至像一些主机托管公司那样对数据中心缩减规模，那么你就需要把所有安全机制引入到新的虚拟化环境。

　　要考虑的第四个因素：留意虚拟局域网标记。

　　物理安全设备厂商们声称，如果你使用虚拟局域网标记（VLAN标记）技术，就能把虚拟网络扩展到虚拟环境之外。这从技术层面来说确实如此，但往往是深入了解虚拟网络的一种笨拙方法。管理不同的虚拟局域网是件很复杂的事，而这种复杂性会导致出现错误，最终导致系统不安全。

　　要考虑的第五个因素：虚拟环境需要虚拟解决方案。

　　领先一步的那些企业正在把防火墙和入侵防护系统（IPS）直接部署到虚拟环境中。它们在使用专门为保护虚拟网络而设计的解决方案。这样一来，它们就能直接深入了解虚拟机，并且从里面保护虚拟环境。虚拟安全设备可放置在虚拟环境内部的任何地方；这种更强的灵活性有助于保护最最复杂的虚拟网络。

　　结论

　　企业在实施虚拟化战略时，需要把安全放在最重要的位置。如果企业能够确保虚拟环境是整个网络架构的一部分，并且在所有网络里面执行始终如一的安全策略，就有望大大减少网络安全威胁。只有重视上述要考虑的因素，企业才能够受益于这项创新技术，同时又不会面临不必要的风险。