中國IDC圈6月8日報道：去年的時候，美國斯坦福醫(yī)院將一般性的應用程序從傳統(tǒng)的服務器平臺轉移到Vmware虛擬機器上，并發(fā)現(xiàn)在安全方面有明顯的不足。

該醫(yī)院的信息安全人員Mike Mucha表示，“我們改變了IT基礎設施的性質，然而虛擬化的影響還存在不確定性。虛擬器開始演變?yōu)榉�務器組件的衍生物，主要由服務器組來控制，但是虛擬化的交換方面意味著傳統(tǒng)網(wǎng)絡本身被改變了。”

在虛擬化世界里，已經(jīng)開始出現(xiàn)了一些安全問題，諸如在何處部署入侵檢測和管理系統(tǒng)或者防火墻等。

虛擬機在安裝和卸載VM方面有著非�？斓乃俣�，但是這種速度也可能帶來另一方面的影響。

Mucha認為，應該為Vmware的ESX服務器和管理控制臺添加另一層安全控制來加強安全性，主要通過從啟動HyTrust來插入政策執(zhí)行應用設備來實現(xiàn)。HyTrust控制設備對管理員和用戶決策進行控制，并且能夠增加針對虛擬機入侵檢測的功能。

Mucha表示，在涉及到虛擬化時，出現(xiàn)的相關的安全風險已經(jīng)得到相應解決，特別是當思科、Juniper和其他傳統(tǒng)交換機廠商推出更先進的虛擬化交換技術的情況下。

其他安全專家也警告說，虛擬化確實將帶來新的風險，但是大家應該正確看待這些風險，尤其是那些歸屬于監(jiān)管部門的企業(yè)，如支付卡行業(yè)數(shù)據(jù)安全標準，任何涉及處理支付卡業(yè)務的企業(yè)都需要遵守該標準。

對于那些對虛擬化完全沒有經(jīng)驗的人來說，“如果你已經(jīng)做了選擇，我強烈建議你不要為任何需要接受合規(guī)的項目部署虛擬化技術，”IBM公司的互聯(lián)網(wǎng)安全系統(tǒng)部的主要安全策略師Joshua Corman在近日召開的Interop會議上表示。

Joshua表示，虛擬化帶來新的攻擊面、業(yè)務以及供應風險和復雜的功能（如在線遷移等），在線遷移功能能夠將虛擬機從一臺物理服務器轉移到另一個服務器，這也帶來新的攻擊可能性，數(shù)據(jù)中心管理人員可能會擔心他們的虛擬機被轉移到欠安全的服務器上。

對于生產(chǎn)環(huán)境中虛擬化技術的使用，Corman強烈推薦Type 1虛擬：直接在硬件上運行的虛擬裸機，Type 2托管虛擬：通常用于測試和開發(fā)環(huán)境。

他還指出，PCI DSS讓問題更加復雜化了，因為該標準建議每隔服務器只能有一個主要智能，這可能是意味著服務器根本不應該被虛擬化，這樣才能符合PCI DSS標準。認識到這件事情的不確定性，PCI安全標準委員會計劃在今年年底將為虛擬化和支付卡處理過程增加新的規(guī)定。

在合規(guī)行業(yè)的安全管理人員都以非常警惕的態(tài)度對待虛擬化技術。金融服務公司Barclays銀行的安全架構和標準主管Lynn Terwoerds表示，在當前的經(jīng)濟局勢下，企業(yè)們都在想盡辦法節(jié)省開支，這也是很多企業(yè)選擇虛擬化技術的原因，但是如果虛擬化可能帶來高風險和安全問題，這些節(jié)省下來的開支就可能導致更大的損失。Terwoerds在上個月舉行的RSA會議的專題小組討論會上表示，“對于虛擬化安全問題，我還很擔心。”

最近Barclay銀行正在研究部署虛擬化技術的影響，在銀行技術決策中發(fā)揮作用的風險和審計人員一直在問，“虛擬化部署將帶來怎樣的新風險，你能夠以任何方式降低這種風險嗎？”

Terwoerds表示，能夠確定這些問題的數(shù)據(jù)是很難在銀行環(huán)境得出來的，因為銀行必須符合很多涉及數(shù)據(jù)保留的條例以及SOX法案的條例，根本沒有空閑來統(tǒng)計這些數(shù)據(jù)。我們還想要明確界定客戶的數(shù)據(jù)存放的位置，PCI標準規(guī)定就像給虛擬化部署“潑了一桶冷水”。

雖然，今天國內(nèi)虛擬化應用尚未完全大規(guī)模普及，但是虛擬化的更大的問題并不僅僅是需要被大家理解的技術問題，而是如何管理供應商和合同問題，尤其是受到監(jiān)管部門監(jiān)管的情況下。詳細，隨著IT業(yè)務的快速發(fā)展，以及節(jié)能降耗呼聲的增加，虛擬化技術在國內(nèi)所面臨的問題將越來越多。