業(yè)界經(jīng)常會有聲音質(zhì)疑虛擬服務(wù)器的安全性不如物理服務(wù)器。這是個有趣的問題，因為除了涉及物理服務(wù)器的各種安全問題外，虛擬服務(wù)器又增加了其自身特有的安全問題。在前不久召開的2008微軟TechDays 上，我出席了有關(guān)問題的研討會。

　　上面我所指的來自業(yè)界的質(zhì)疑聲音，來自著名的IDG 和 Gartner.

　　物理服務(wù)器我們已經(jīng)接觸了很久，它也是我們最喜歡的服務(wù)器。每臺服務(wù)器上安裝的應(yīng)用服務(wù)和操作系統(tǒng)可能都不盡相同，但是為了維護這些物理服務(wù)器的安全，我們所做的工作卻沒有太大區(qū)別。

　　對于所有物理服務(wù)器來說，面對的主要安全問題無非以下幾項：

　　· 控制物理訪問

　　· 監(jiān)控網(wǎng)絡(luò)訪問

　　· 限制管理特權(quán)

　　上面列出的安全問題可能很少，但是對于物理服務(wù)器來說，所有安全問題都已經(jīng)是擺在臺面上了。但是與物理服務(wù)器相比，虛擬服務(wù)器又有哪些不同呢?

　　虛擬服務(wù)器額外的安全挑戰(zhàn)

　　對于虛擬服務(wù)器或者物理服務(wù)器來說，不論它是運行Windows系統(tǒng)還是Unix系統(tǒng)，都仍然需要監(jiān)控。服務(wù)器上運行的操作系統(tǒng)也需要進行安全升級，其上的軟件也需要及時進行升級或者打補丁。這種狀況一直都沒有變過，而且Unix系統(tǒng)同樣存在安全漏洞。在我看來，Unix系統(tǒng)的漏洞比Windows系統(tǒng)少一些，但是采用Windows系統(tǒng)的服務(wù)器數(shù)量要比采用Unix系統(tǒng)的服務(wù)器多很多，因此存在較大安全風(fēng)險的服務(wù)器更多。

　　除了系統(tǒng)漏洞外，虛擬服務(wù)器還有很多自身的安全問題。想象一下，整個虛擬服務(wù)器都包含在叫做虛擬硬盤 的資源中，而整個虛擬硬盤實際上都是一堆文件而已。

　　想象一個 Word文檔的安全問題，再與作為一個超大文件的虛擬服務(wù)器對比一下，我們不難明白，這種文件化的服務(wù)器問題實在太多了。

　　同時需要進行安全保護的內(nèi)容還包括服務(wù)器的配置文件，這些配置文件包含了與服務(wù)器名稱，Ram配置，網(wǎng)絡(luò)配置等重要內(nèi)容相關(guān)的文件。

　　在這種情況下，我們能馬上意識到對于虛擬服務(wù)器來說，來自內(nèi)部的威脅可能性變大了。這主要是由于作為文件的虛擬服務(wù)器遠(yuǎn)比物理服務(wù)器更容易被移動。

　　另一個需要考慮的安全問題是如何控制對這些“文件”的訪問。一旦存儲虛擬服務(wù)器的物理服務(wù)器被入侵，那么受影響的決不僅僅是某一個虛擬服務(wù)器。

　　現(xiàn)在如果說，我們盡力保護物理服務(wù)器的安全，并且肯定其上的文檔都是安全的，那么其上的虛擬服務(wù)器會和文檔一樣安全嗎?

　　實際上，虛擬服務(wù)器要比文檔更容易成為攻擊目標(biāo)。

　　我們可以通過技術(shù)手段讓某個服務(wù)器與網(wǎng)絡(luò)連接隔離，這可以降低通過網(wǎng)絡(luò)入侵虛擬服務(wù)器的可能性。但是對于內(nèi)部威脅來說這種技術(shù)手段毫無用處。

　　我們采用和物理服務(wù)器一樣的手段來保護虛擬服務(wù)器的訪問安全，比如采用最小特權(quán)訪問，NTFS安全性，ACL許可，活動目錄組成員等技術(shù)手段，但是這些手段能夠確保虛擬服務(wù)器的安全嗎?歡迎廣大讀者一起討論這個問題。