隨著虛擬化不斷盛行起來(lái)，中小企業(yè)（SMB）逐漸開(kāi)始加大對(duì)虛擬化的投入。由于中小企業(yè)整體實(shí)力較為薄弱，資金少，IT基礎(chǔ)設(shè)施不夠健全，因此借用虛擬化技術(shù)來(lái)幫助企業(yè)減少開(kāi)支、提高效率、增強(qiáng)競(jìng)爭(zhēng)力，就顯得理所當(dāng)然�？珊芏嗳藚s只會(huì)停留在虛擬化技術(shù)一個(gè)層面，并沒(méi)有全面考慮到虛擬化技術(shù)所應(yīng)重視的安全問(wèn)題。

正所謂“開(kāi)開(kāi)心心上班，平平安安回家”，如果僅僅重視虛擬化技術(shù)在中小企業(yè)中的具體應(yīng)用，而完全忽視了虛擬化應(yīng)用過(guò)程中所帶來(lái)的安全問(wèn)題，則多少有些“五音不全”，畢竟“皮之不存毛將焉附”。

在說(shuō)明虛擬化安全問(wèn)題之前，我們先來(lái)了解當(dāng)前虛擬化和虛擬化安全的概括。根據(jù)調(diào)查發(fā)現(xiàn)，虛擬化在大部分企業(yè)中并不是IT生產(chǎn)環(huán)境中的標(biāo)準(zhǔn)部署。只有34.2%的企業(yè)對(duì)超過(guò)50%的IT系統(tǒng)進(jìn)行了服務(wù)器部署，而部署比例達(dá)到或者超過(guò)70%的企業(yè)只有11.4%.

而計(jì)劃2012年底前實(shí)施虛擬化的應(yīng)用中，絕大部分都把精力放在服務(wù)器虛擬化和存儲(chǔ)虛擬化方面。在2012年底，將有50.8%的企業(yè)會(huì)實(shí)現(xiàn)超過(guò)50%的服務(wù)器虛擬化部署，而存儲(chǔ)虛擬化部署的企業(yè)用戶將達(dá)33.3%，并且其虛擬化程度也將超過(guò)50%.

而在關(guān)于虛擬化安全方面的調(diào)查發(fā)現(xiàn)，有19.3%的企業(yè)認(rèn)為經(jīng)驗(yàn)和技術(shù)的不足會(huì)影響虛擬化安全的規(guī)劃和實(shí)施。而在具體的影響虛擬化安全實(shí)現(xiàn)的因素當(dāng)中，預(yù)算和前期投入也是一個(gè)十分重要的因素，另外虛擬化環(huán)境和平臺(tái)的安全管理的復(fù)雜性，也是一個(gè)突出的問(wèn)題。當(dāng)然，這一點(diǎn)也不奇怪，因?yàn)榘踩珕?wèn)題本身是需要前期投入的，因此在部署虛擬化的時(shí)候往往容易被企業(yè)用戶忽視。

其實(shí)復(fù)雜性問(wèn)題歸結(jié)為兩點(diǎn)：首先是整體上的復(fù)雜性——相比較傳統(tǒng)的物理環(huán)境，虛擬環(huán)境下管理安全性會(huì)變得更為復(fù)雜。因?yàn)樘摂M化會(huì)促使更多的系統(tǒng)出現(xiàn)，應(yīng)用程序和數(shù)據(jù)會(huì)在不同的主機(jī)系統(tǒng)之間進(jìn)行遷移和蔓延。其次是跨虛擬平臺(tái)和環(huán)境（不同服務(wù)商提供）的安全管理復(fù)雜性。異構(gòu)虛擬化環(huán)境下安全管理的支持（根據(jù)現(xiàn)實(shí)中虛擬化的地位問(wèn)題和結(jié)果）是成功部署的關(guān)鍵所在。

大部分企業(yè)都在尋找某種整合的解決方案，既幫助管理物理環(huán)境，又能幫助管理虛擬環(huán)境。有數(shù)據(jù)顯示，83.8%的企業(yè)偏向于選擇既能滿足物理環(huán)境又能滿足虛擬環(huán)境的管理解決方案。這也就意味著，不存在專為“虛擬化安全”的獨(dú)立市場(chǎng)。不過(guò)，那些傳統(tǒng)安全廠商可以通過(guò)現(xiàn)有IT安 全管理解決方案增加附加值來(lái)實(shí)現(xiàn)虛擬化安全。

另外，有關(guān)虛擬化安全方面的挑戰(zhàn)和問(wèn)題的重要性，也備受人們的關(guān)注。其中最受人們關(guān)注的是“數(shù)據(jù)蔓延”，比如在沒(méi)有得到有效控制的情 形下數(shù)據(jù)遷移至不夠安全的環(huán)境中的風(fēng)險(xiǎn)。有調(diào)查數(shù)據(jù)顯示，41.7%的企業(yè)用戶認(rèn)為這一點(diǎn)十分重要。緊接著數(shù)據(jù)蔓延的就是完善法規(guī)和審計(jì)規(guī)范。

另外，34%的用戶認(rèn)為IT資產(chǎn)實(shí)現(xiàn)虛擬化后的業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估也非常重要，持有“非常重要”和“重要”觀點(diǎn)的用戶總共大概有78.8%的企業(yè)。這也就意味著，業(yè)務(wù)風(fēng)險(xiǎn)和IT風(fēng)險(xiǎn)之間有著緊密的聯(lián)系。

IT基礎(chǔ)設(shè)施的根本性轉(zhuǎn)變，比如基礎(chǔ)設(shè)施實(shí)施虛擬化的遷移，可能會(huì)對(duì)業(yè)務(wù)的發(fā)展帶來(lái)積極或者消極的影響。因此，了解業(yè)務(wù)影響特別是潛在風(fēng)險(xiǎn)——比如此前所提的數(shù)據(jù)蔓延，就會(huì)顯得十分重要。

虛擬化安全并不是一個(gè)孤立的技術(shù)問(wèn)題，而是需要根據(jù)業(yè)務(wù)需求和風(fēng)險(xiǎn)情況，與現(xiàn)有的IT安全舉措進(jìn)行集成。因此，中小企業(yè)需要做的是在已有的基礎(chǔ)上進(jìn)行擴(kuò)充，而不是專門(mén)為虛擬化環(huán)境而重塑安全。然而，未來(lái)更好地管理分布式環(huán)境和減輕數(shù)據(jù)和服務(wù)器蔓延的風(fēng)險(xiǎn)，需要有某些特定功能來(lái)支持。

虛擬化環(huán)境下人們所關(guān)注的第一組問(wèn)題——特別是特權(quán)用戶帶來(lái)的風(fēng)險(xiǎn)問(wèn)題。特權(quán)用戶指權(quán)限獲得提升的用戶，如管理員、操作員以及技術(shù)用戶和其他類(lèi)型的用戶。根據(jù)調(diào)查發(fā)現(xiàn)，企業(yè)對(duì)風(fēng)險(xiǎn)的看法與對(duì)此采取的措施存在顯著差異。幾乎有四分之三（73.2%）的企業(yè)關(guān)注hypervisor提供的優(yōu)先特權(quán)以及由此帶來(lái)的潛在濫用問(wèn)題。

Hypervisor的管理帳戶擁有廣泛的特權(quán)，由此，它會(huì)使得虛擬化環(huán)境出現(xiàn)一個(gè)新的攻擊窗口，并可以通過(guò)特權(quán)用戶的濫用行為將該窗口進(jìn)行打開(kāi)。在虛擬化環(huán)境下，這與權(quán)利的濫用有著十分緊密的關(guān)系——在某些情況下，甚至很難跟蹤到這些特權(quán)用戶的濫用行為。因此，引入PXM （Privileged Account/Identity/User Management，特權(quán)賬戶/身份/用戶管理），在虛擬化和云環(huán)境中顯得更加必不可少，以滿足法規(guī)遵從要求，并減輕這些環(huán)境風(fēng)險(xiǎn)。

虛擬化安全屬于IT戰(zhàn)略中的一個(gè)組成部分，它其實(shí)并不是安全解決方案，只是對(duì)虛擬化環(huán)境提出了更高更多的管理要求。下面，具體介紹如何實(shí)現(xiàn)虛擬化安全：

隔離平臺(tái)

虛擬化可以打通一切硬件資源的條塊分割實(shí)現(xiàn)互通有無(wú)，對(duì)于虛擬機(jī)來(lái)說(shuō)，它們不能進(jìn)行相互通信（除非通過(guò)網(wǎng)絡(luò)），而且資源會(huì)受到嚴(yán)格控制。對(duì)于虛擬交換機(jī)來(lái)說(shuō)，不存在網(wǎng)絡(luò)共享的機(jī)制，但完全具備支持VLAN layer-2交換機(jī)的功能。

隔離平臺(tái)的主要目的在于，一旦發(fā)生緊急情況，可以最大程度地避免整個(gè)虛擬化環(huán)境系統(tǒng)的破壞，另外，也有助于虛擬化安全管理。在此基礎(chǔ)上，使每一臺(tái)虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。

保護(hù)虛擬機(jī)

中小企業(yè)虛擬化安全，更多的是需要考慮到虛擬機(jī)的安全。用戶需要確保在不同虛擬機(jī)之間，用防火墻進(jìn)行隔離和保護(hù)，而且要制定統(tǒng)一規(guī)范 的安全政策，未經(jīng)授權(quán)或者未知來(lái)源都一律禁止訪問(wèn)。在單個(gè)虛擬機(jī)上（包括物理主機(jī)），則需要安裝防病毒工具并保持更新。而對(duì)于此前提到過(guò)的特權(quán)用戶問(wèn)題，特別需要注重管理。在利用特權(quán)用戶管理虛擬機(jī)的時(shí)候，特別要重視虛擬機(jī)端口和遠(yuǎn)程訪問(wèn)，禁用不使用的網(wǎng)絡(luò)端口，嚴(yán)格限制遠(yuǎn)程訪問(wèn)。

尋找專業(yè)技術(shù)顧問(wèn)

中小企業(yè)部署虛擬化，本身就是一個(gè)艱巨浩大的工程，對(duì)于這些實(shí)力較為弱小的企業(yè)用戶來(lái)說(shuō)，依靠自身力量往往很難對(duì)虛擬化環(huán)境進(jìn)行充分保護(hù)。在這樣的情況下，中小企業(yè)可以考慮采用外包的形式，將虛擬化和虛擬化安全統(tǒng)一打包給專業(yè)的第三方進(jìn)行統(tǒng)一管理。

另外，也需要加強(qiáng)企業(yè)內(nèi)部IT管理員的技術(shù)培訓(xùn)和規(guī)范操作，強(qiáng)化風(fēng)險(xiǎn)意識(shí)和安全觀念，在考慮到虛擬化安全的同時(shí)，也不能忽視了物理主機(jī)和網(wǎng)絡(luò)的安全防護(hù)工作。