中國IDC圈6月8日報道：去年的時候，美國斯坦福醫(yī)院將一般性的應(yīng)用程序從傳統(tǒng)的服務(wù)器平臺轉(zhuǎn)移到Vmware虛擬機器上，并發(fā)現(xiàn)在安全方面有明顯的不足。

該醫(yī)院的信息安全人員Mike Mucha表示，“我們改變了IT基礎(chǔ)設(shè)施的性質(zhì)，然而虛擬化的影響還存在不確定性。虛擬器開始演變?yōu)榉��?wù)器組件的衍生物，主要由服務(wù)器組來控制，但是虛擬化的交換方面意味著傳統(tǒng)網(wǎng)絡(luò)本身被改變了。”

在虛擬化世界里，已經(jīng)開始出現(xiàn)了一些安全問題，諸如在何處部署入侵檢測和管理系統(tǒng)或者防火墻等。

虛擬機在安裝和卸載VM方面有著非�？斓乃俣�，但是這種速度也可能帶來另一方面的影響。

Mucha認(rèn)為，應(yīng)該為Vmware的ESX服務(wù)器和管理控制臺添加另一層安全控制來加強安全性，主要通過從啟動HyTrust來插入政策執(zhí)行應(yīng)用設(shè)備來實現(xiàn)。HyTrust控制設(shè)備對管理員和用戶決策進(jìn)行控制，并且能夠增加針對虛擬機入侵檢測的功能。

Mucha表示，在涉及到虛擬化時，出現(xiàn)的相關(guān)的安全風(fēng)險已經(jīng)得到相應(yīng)解決，特別是當(dāng)思科、Juniper和其他傳統(tǒng)交換機廠商推出更先進(jìn)的虛擬化交換技術(shù)的情況下。

其他安全專家也警告說，虛擬化確實將帶來新的風(fēng)險，但是大家應(yīng)該正確看待這些風(fēng)險，尤其是那些歸屬于監(jiān)管部門的企業(yè)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，任何涉及處理支付卡業(yè)務(wù)的企業(yè)都需要遵守該標(biāo)準(zhǔn)。

對于那些對虛擬化完全沒有經(jīng)驗的人來說，“如果你已經(jīng)做了選擇，我強烈建議你不要為任何需要接受合規(guī)的項目部署虛擬化技術(shù)，”IBM公司的互聯(lián)網(wǎng)安全系統(tǒng)部的主要安全策略師Joshua Corman在近日召開的Interop會議上表示。

Joshua表示，虛擬化帶來新的攻擊面、業(yè)務(wù)以及供應(yīng)風(fēng)險和復(fù)雜的功能（如在線遷移等），在線遷移功能能夠?qū)⑻摂M機從一臺物理服務(wù)器轉(zhuǎn)移到另一個服務(wù)器，這也帶來新的攻擊可能性，數(shù)據(jù)中心管理人員可能會擔(dān)心他們的虛擬機被轉(zhuǎn)移到欠安全的服務(wù)器上。

對于生產(chǎn)環(huán)境中虛擬化技術(shù)的使用，Corman強烈推薦Type 1虛擬：直接在硬件上運行的虛擬裸機，Type 2托管虛擬：通常用于測試和開發(fā)環(huán)境。

他還指出，PCI DSS讓問題更加復(fù)雜化了，因為該標(biāo)準(zhǔn)建議每隔服務(wù)器只能有一個主要智能，這可能是意味著服務(wù)器根本不應(yīng)該被虛擬化，這樣才能符合PCI DSS標(biāo)準(zhǔn)。認(rèn)識到這件事情的不確定性，PCI安全標(biāo)準(zhǔn)委員會計劃在今年年底將為虛擬化和支付卡處理過程增加新的規(guī)定。

在合規(guī)行業(yè)的安全管理人員都以非常警惕的態(tài)度對待虛擬化技術(shù)。金融服務(wù)公司Barclays銀行的安全架構(gòu)和標(biāo)準(zhǔn)主管Lynn Terwoerds表示，在當(dāng)前的經(jīng)濟局勢下，企業(yè)們都在想盡辦法節(jié)省開支，這也是很多企業(yè)選擇虛擬化技術(shù)的原因，但是如果虛擬化可能帶來高風(fēng)險和安全問題，這些節(jié)省下來的開支就可能導(dǎo)致更大的損失。Terwoerds在上個月舉行的RSA會議的專題小組討論會上表示，“對于虛擬化安全問題，我還很擔(dān)心。”

最近Barclay銀行正在研究部署虛擬化技術(shù)的影響，在銀行技術(shù)決策中發(fā)揮作用的風(fēng)險和審計人員一直在問，“虛擬化部署將帶來怎樣的新風(fēng)險，你能夠以任何方式降低這種風(fēng)險嗎？”

Terwoerds表示，能夠確定這些問題的數(shù)據(jù)是很難在銀行環(huán)境得出來的，因為銀行必須符合很多涉及數(shù)據(jù)保留的條例以及SOX法案的條例，根本沒有空閑來統(tǒng)計這些數(shù)據(jù)。我們還想要明確界定客戶的數(shù)據(jù)存放的位置，PCI標(biāo)準(zhǔn)規(guī)定就像給虛擬化部署“潑了一桶冷水”。

雖然，今天國內(nèi)虛擬化應(yīng)用尚未完全大規(guī)模普及，但是虛擬化的更大的問題并不僅僅是需要被大家理解的技術(shù)問題，而是如何管理供應(yīng)商和合同問題，尤其是受到監(jiān)管部門監(jiān)管的情況下。詳細(xì)，隨著IT業(yè)務(wù)的快速發(fā)展，以及節(jié)能降耗呼聲的增加，虛擬化技術(shù)在國內(nèi)所面臨的問題將越來越多。