隨著企業(yè)更多的從物理平臺(tái)轉(zhuǎn)向虛擬化，云服務(wù)的創(chuàng)建和部署也越來(lái)越方便，安全就成了一個(gè)頭等重要的問(wèn)題。那么，在云環(huán)境下，如何有效地保護(hù)虛擬系統(tǒng)呢?下面，我們?yōu)榇蠹姨峁┮韵率蠹记桑?br />

一、傳統(tǒng)安全控制仍可用

在過(guò)渡到虛擬環(huán)境過(guò)程中，我們?nèi)圆荒芡浤承﹤鹘y(tǒng)的安全手段。比如病毒防護(hù)工具、防火墻、入侵檢測(cè)等等，它們?cè)?a href="http://mszdt.com/" target="_blank" class="a_cont" title="服務(wù)器是網(wǎng)絡(luò)環(huán)境中的高性能計(jì)算機(jī)，它偵聽(tīng)網(wǎng)絡(luò)上的其他計(jì)算機(jī)（客戶(hù)機(jī)）提交的服務(wù)請(qǐng)求，并提供相應(yīng)的服務(wù)，為此，服務(wù)器必須具有承擔(dān)服務(wù)并且保障服務(wù)的能力。">服務(wù)器和虛擬主機(jī)上仍有大展身手的舞臺(tái)。值得一提的是，這些安全工具在進(jìn)行重大安全升級(jí)的時(shí)候，有可能會(huì)導(dǎo)致意外的服務(wù)中斷。

二、保護(hù)Hypervisor

在虛擬環(huán)境的頂層提供了訪問(wèn)入口。虛擬安全控制可幫助阻止未經(jīng)授權(quán)對(duì)Hypervisor的更改和干預(yù)。

三、創(chuàng)建虛擬安全政策

通常物理環(huán)境下我們都有一個(gè)安全政策，但在虛擬環(huán)境下，我們也同樣需要有這種安全政策。它們之間有很多可以并用，但還有很多方面是與物理環(huán)境下的安全政策是不同的。

四、部門(mén)之間協(xié)作

虛擬化一般都會(huì)涉及到整個(gè)企業(yè)各個(gè)部門(mén)，因此也容易出現(xiàn)安全意外。需要確保在出現(xiàn)沖突和安全意外的時(shí)候，能保持溝通暢通對(duì)公司內(nèi)各部門(mén)開(kāi)放。

五、創(chuàng)建虛擬端點(diǎn)安全

傳統(tǒng)防火墻、入侵防范監(jiān)測(cè)系統(tǒng)在虛擬環(huán)境和移植到云架構(gòu)中，都能發(fā)揮不少作用。虛擬防火墻和IPS在某些關(guān)鍵架構(gòu)點(diǎn)上需要進(jìn)行部署。同樣，也不能忽略監(jiān)視和跟蹤企業(yè)整合安全信息和事件管理系統(tǒng)。

六、批量管理

云端會(huì)有很多相同或者類(lèi)似的問(wèn)題，虛擬環(huán)境需要能根據(jù)系統(tǒng)和數(shù)據(jù)的臨界值來(lái)批量管理。

七、沿用管理者特權(quán)

基于角色的訪問(wèn)控制在虛擬環(huán)境中能大有可為?？筛鶕?jù)優(yōu)先規(guī)則繼續(xù)采用管理訪問(wèn)權(quán)限設(shè)定。

八、部署虛擬辯論術(shù)和深度防御

每個(gè)系統(tǒng)、虛擬環(huán)境中都會(huì)出現(xiàn)問(wèn)題。在虛擬系統(tǒng)中部署辯論術(shù)登陸和分析，以更加可視化效果來(lái)增加對(duì)每個(gè)虛擬化設(shè)備的深度防御。

九、投入更多精力進(jìn)行培訓(xùn)

虛擬安全的培訓(xùn)不同于物理世界的安全培訓(xùn)。幾乎所有傳統(tǒng)工具的部署、管理在虛擬環(huán)境下都會(huì)不同。編制預(yù)算并為團(tuán)隊(duì)的培訓(xùn)制定計(jì)劃。

十、注意合規(guī)性問(wèn)題

相比物理環(huán)境，虛擬環(huán)境會(huì)被人以更加懷疑的態(tài)度來(lái)審視。因此，有必要提供更深度安全檢測(cè)和管理虛擬系統(tǒng)，使得不斷貼近安全合規(guī)性要求。