服務(wù)器虛擬化在存儲和安全方面的問題

安全問題不可忽視

一、單點故障風險

要考慮服務(wù)器硬件性能是否滿足需求。在一臺物理服務(wù)器上部署承載企業(yè)IT應(yīng)用的多個虛擬服務(wù)器時，要提前做好應(yīng)對物理硬件發(fā)生故障的準備，否則不能及時恢復(fù)將給企業(yè)帶來災(zāi)難性的后果。

因此我們推薦同時使用另一臺物理服務(wù)器做鏡像備份和冗余設(shè)置，雖然增加了虛擬化成本，但當故障發(fā)生時，備用服務(wù)器能立刻上線運行，有效避免了服務(wù)器物理損傷而導致的全盤虛擬服務(wù)器崩潰。這也是大部分企業(yè)所采用的方法，畢竟誰也保證不了物理服務(wù)器永遠恒定。同時，對供電系統(tǒng)，防雷電干擾，散熱系統(tǒng)等等包括自然災(zāi)害的相關(guān)因素都必需考慮到。

當然最好為每一臺虛擬機映射一個獨立的物理磁盤分區(qū)，以便將其從邏輯上隔離，起到互不干擾的效果。尤其針對大型企業(yè)的服務(wù)器集群。當某一塊物理硬件出現(xiàn)故障，其對應(yīng)的應(yīng)用應(yīng)該能及時從這臺機器上動態(tài)遷移到別的機器上。這需要通過VMware、微軟等虛擬化平臺軟件實現(xiàn)，保證了應(yīng)用服務(wù)不會異常中斷，提供了高可靠性，減少損失。

二、潛在攻擊威脅

對于訪問者而言虛擬服務(wù)器和物理服務(wù)器沒有區(qū)別，同樣面臨被人惡意攻擊的風險，一旦一臺有漏洞的虛擬機被攻陷，安全威脅就可以透過網(wǎng)絡(luò)散布到其它的虛擬機器，威脅整個虛擬機管理系統(tǒng)。

解決辦法要依賴于管理員，大多安全隱患就存在于虛擬機系統(tǒng)補丁的落后。更新系統(tǒng)補丁、應(yīng)用程序補丁在內(nèi)的補丁的及時性，對所允許運行的服務(wù)、開放的端口等等都應(yīng)進行審慎的考量，每臺虛擬機的安全策略也應(yīng)當針對不同的作用而有所區(qū)別。保護物理服務(wù)器的穩(wěn)定安全，是安全防范工作的重中之重，畢竟物理服務(wù)器是虛擬服務(wù)器的根本。

網(wǎng)絡(luò)構(gòu)架對安全的防護也很重要，體現(xiàn)在各虛擬機的網(wǎng)絡(luò)獨立性。通過VLAN和不同的lP網(wǎng)段的方式可以實現(xiàn)對各虛擬機的邏輯隔離，有相互通信需求的虛擬服務(wù)器可采用VPN的方式來進行網(wǎng)絡(luò)連接，保護它們之間網(wǎng)絡(luò)傳輸?shù)陌踩�。此外，管理員還要有明確的監(jiān)控手段，如果不能了解各個虛擬機之間聯(lián)系，你將面對一個失控的虛擬服務(wù)器網(wǎng)絡(luò)。

三、病毒侵害

關(guān)于病毒的防護，通常的做法是將每一個獨立的虛擬機單獨安裝殺毒軟件以及防木馬工具等。但其總體占用的系統(tǒng)資源對服務(wù)器而言也是很可怕的，只怕沒等病毒入侵，光憑眾多殺毒軟件所帶來的系統(tǒng)冗余就給你的系統(tǒng)拖得疲憊不堪了。

現(xiàn)在有個好方法，就是寄希望于虛擬化平臺廠商與殺毒軟件廠商合作，專門開發(fā)出用于虛擬化平臺整合的殺毒軟件，相當于為每一臺虛擬機設(shè)置一臺安全檢查設(shè)備，去過濾進出這些虛擬機的所有流量，于是虛擬機器就不需要安裝任何的軟件便能得到保護。只是目前還沒有此類平臺的相關(guān)消息，相信隨著服務(wù)器虛擬化的普及發(fā)展，一切都會有的。

四、虛擬機的數(shù)據(jù)安全保護

究其根本，虛擬機只是存儲在實體硬盤的幾個文件，一旦有人取得存取硬盤的權(quán)限，就能將這些文件復(fù)制到其它裝置，泄露出去。因此在權(quán)限管理上應(yīng)提出更高的要求，對共享文件也應(yīng)進行加密處理。

每臺虛擬服務(wù)器，都必需實施相應(yīng)的備份策略，對配置文件、虛擬機文件及其中的重要數(shù)據(jù)都要進行備份。需要做完善的備份計劃，包括完整備份、增量備份或差量備份方式。此外，將數(shù)據(jù)和備份數(shù)據(jù)保存至其它服務(wù)器是行之有效的安全保護方法，但是這也增加了成本和管理復(fù)雜度。

不管是任何技術(shù)，有其優(yōu)異的一面就會有限制性的一面。但是隨著技術(shù)的不斷進步，很多虛擬化過程中出現(xiàn)問題都會有其解決方法。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]