虛擬化安全vs安全的虛擬化

　　

    經(jīng)常會(huì)有人談?wù)撎摂M環(huán)境中出現(xiàn)的安全問(wèn)題，而大部分討論都是圍繞如何保護(hù)虛擬機(jī)問(wèn)題的。誠(chéng)然，虛擬化技術(shù)可能帶來(lái)某些安全風(fēng)險(xiǎn)，然而，如果用得適當(dāng)，虛擬化技術(shù)也能夠幫助提高安全性。

　　

    控制力是保護(hù)系統(tǒng)的一個(gè)重要因素，包括對(duì)企業(yè)內(nèi)部人員的控制和訪問(wèn)公司網(wǎng)絡(luò)資源的外部人員的控制(例如遠(yuǎn)程用戶使用便攜式電腦和移動(dòng)設(shè)備訪問(wèn)網(wǎng)絡(luò))。虛擬化技術(shù)能夠幫助你集中控制最終用戶所訪問(wèn)的應(yīng)用程序，而桌面虛擬技術(shù)則能夠?yàn)榫哂袧撛谖：Φ膽?yīng)用程序、網(wǎng)站等創(chuàng)建安全、孤立的計(jì)算機(jī)環(huán)境。

　　

    數(shù)據(jù)集中化管理能夠確保數(shù)據(jù)的安全性，而基于服務(wù)器的虛擬化技術(shù)能夠確保重要數(shù)據(jù)不被存儲(chǔ)在臺(tái)式機(jī)或者很容易遺失或者被偷竊的筆記本電腦中。

　　

    沙盒技術(shù)

　　

    沙盒是指器不能直接訪問(wèn)主一種相對(duì)孤立的環(huán)境，能夠安全地運(yùn)行那些可能對(duì)操作系統(tǒng)、其他應(yīng)用程序或網(wǎng)絡(luò)造成威脅的程序。虛擬機(jī)機(jī)資源，所以使沙盒技術(shù)十分安全。如果系統(tǒng)中存在不穩(wěn)定的應(yīng)用程序、有安全漏洞應(yīng)用程序或者未知應(yīng)用程序，你可以將這樣的應(yīng)用程序安裝在虛擬機(jī)中，這樣的話，當(dāng)該應(yīng)用程序出現(xiàn)問(wèn)題時(shí)，就不會(huì)對(duì)主機(jī)系統(tǒng)的其他部分造成影響。

　　

    由于網(wǎng)絡(luò)瀏覽器經(jīng)常會(huì)成為惡意軟件和病毒攻擊的對(duì)象，我們可以將瀏覽器在虛擬機(jī)中運(yùn)行，當(dāng)然你也可以在虛擬機(jī)中運(yùn)行其他互聯(lián)網(wǎng)相關(guān)的程序(如電子郵件客戶端、聊天程序和P2P文件共享程序等)。虛擬機(jī)能夠訪問(wèn)互聯(lián)網(wǎng)，但是不能訪問(wèn)公司的局域網(wǎng)，這能夠幫助你保護(hù)主機(jī)操作系統(tǒng)以及訪問(wèn)本地資源的商業(yè)程序免受互聯(lián)網(wǎng)中的攻擊。

　　

    另一個(gè)好處就是，當(dāng)虛擬機(jī)受到攻擊時(shí)能夠很簡(jiǎn)便地恢復(fù)，VM軟件會(huì)在特定的時(shí)間點(diǎn)對(duì)機(jī)器進(jìn)行“快照”，因此能夠很快速地恢復(fù)到攻擊前的狀態(tài)。

　　

    無(wú)縫虛擬應(yīng)用軟件和豐富的VMWare Workstation 6.5實(shí)戰(zhàn)經(jīng)驗(yàn)

　　

    最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操作系統(tǒng)的應(yīng)用程序(來(lái)自虛擬機(jī))。對(duì)用戶而言，這意味著完全的無(wú)縫虛擬應(yīng)用程序整合，操作過(guò)程更加方便。用戶能夠輕松在虛擬機(jī)和主機(jī)間進(jìn)行拖放或者粘貼操作，根本不會(huì)感覺(jué)應(yīng)用程序是在虛擬機(jī)中運(yùn)行，這就是說(shuō)對(duì)虛擬機(jī)中的應(yīng)用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操序(如網(wǎng)絡(luò)瀏覽器)實(shí)施沙盒技術(shù)時(shí)不再會(huì)感覺(jué)到任何障礙。

　　

    這種新軟件還能夠幫助用戶安裝虛擬機(jī)以便跨越多個(gè)監(jiān)控器進(jìn)行操作，這很重要，尤其是當(dāng)你需要在虛擬機(jī)中同事運(yùn)行幾個(gè)應(yīng)用程序時(shí)�；蛘吣阋部梢园惭b多個(gè)虛擬機(jī)在不同的監(jiān)控器上顯示，這樣就更容易追蹤用戶在特定時(shí)間所操作的虛擬計(jì)算機(jī)。另外也可以在后臺(tái)運(yùn)行虛擬機(jī)，而不使用workstation用戶界面。

　　

    服務(wù)器分離

　　

    服務(wù)器整合是很多企業(yè)使用虛擬化的主要目的，當(dāng)然你也可以不使用虛擬化而在一臺(tái)機(jī)器上運(yùn)行多個(gè)服務(wù)器角色，你的域控制機(jī)還可以作為DNS服務(wù)器、DHCP服務(wù)器、RRAS服務(wù)器等。但是在一臺(tái)服務(wù)器上運(yùn)行多個(gè)角色，特別是在域控制器上，會(huì)造成重大的安全風(fēng)險(xiǎn)。虛擬化可以讓你在同一物理機(jī)上運(yùn)行所有這些相同的角色，并將服務(wù)器分離，因?yàn)樗麄兪窃趩为?dú)的虛擬機(jī)上運(yùn)行。

　　

    微軟公司發(fā)布的Hyper-V虛擬軟件能夠防止VM間的未經(jīng)授權(quán)的通信，且每個(gè)虛擬機(jī)在分離出來(lái)的單個(gè)工作進(jìn)程中運(yùn)行，并且在用戶模式中僅有有限的權(quán)限，這能夠保證主服務(wù)器和程序的安全性。其他能夠分離虛擬機(jī)的安全機(jī)制包括分離虛擬設(shè)備，一種從每個(gè)虛擬機(jī)到主服務(wù)器的獨(dú)立的VMBus，并且VM之間沒(méi)有共享空間。