采用五方案，让虚拟化更安全

存储虚拟化技术已经在市场上杀出了一片天地。当然我们还是需要不断的学习。关于存储虚拟化技术的安全性，在真实世界中唯一出现的主要供应商的脆弱性报告是微软的升级漏洞，而这是有关Xbox 360中运行的嵌入hypervisor，在Hyper-V或Virtual PC中没有发现漏洞。

无论如何，存储虚拟化技术已经成为主流，在过去几年中虚拟机大量占据了数据中心，IT安全专家们在不断重复着hypervisor如果受侵会带来的可怕后果。黑帽大会在继续讨论潜在的风险和漏洞。Gartner预计去年年底hypervisor就会出现需要修补的大漏洞，很高兴他们没有预测对。

但现实情况是，虚拟化是简单的软件问题。它本质上还是软件，无论怎样严格书写，效率有多高，在代码和设计上总会出现缺陷，并且会越来越多，这和任何复杂的，广泛流行的应用程序都是一样的。

因此，什么才是最可能出现的威胁？虚拟服务器只是服务器。存储虚拟化技术的硬件抽象和灵活性让你能够更容易地进行创建、部署和安排，同时也更容易出现问题甚至丢失。在虚拟世界，你的最大威胁不是挥舞着BIOS病毒或者想方设法控制主机的坏人。相反，最薄弱的环节可能是你自己，如果你缺乏规划，不知道怎样照顾、维护和管理狂野的虚拟农场。

存储虚拟化技术搭建常规防御

无论是小型还是大型的虚拟商店都有一个长长的安全问题清单。你应该关注潜在的漏洞，避免客户虚拟机威胁到主机或hypervisor，信息安全咨询公司Neohapsis的CTO Greg Shipley说，但你应该更关心没打补丁的客户虚拟机，防止它们遗忘在测试主机，或者由于不完善的现场迁移规则在主机间穿梭。

每个人都可以从基本的风险管理思想中受益，Shipley说。大多数企业都有基本的安全设计和底层架构，用来搭建物理和虚拟环境。虽然是老生常谈，但从总体上解决安全问题比任何单一用途的虚拟机工具都更有效。也可以说，先把你的物理环境搭建好，然后才能谈到虚拟机的安全问题。

传统的自动修补策略不考虑离线服务器。在物理世界中，一个断了电的服务器是无法工作的。但在虚拟世界，暂停或存档的服务器可以通过虚拟化补丁管理工具进行更新。虚拟机模板和基准镜像必须保证维护和修补，当然我们也不妨从原始的物理机安全防御体系中吸取营养。

存储虚拟化技术将单点故障降到最低

在过去，你可以靠传统的一台服务器一个盒子的模型合理的避开风险和硬件故障。但在虚拟世界里，随着每台主机上的客户机越来越多，风险也越来越大。因此，在试图通过整合来节省资金的同时，也必须准备好以防万一的计划。

基本的设计方案应该包括至少三台主机，提供现场迁移选择，增强高峰性能，以及保证硬件升级、维护和打补丁的灵活性，确保不出现生产中断。几乎所有的存储虚拟化技术供应商都已经增加了入门级的功能，但获得真正高可用性的唯一方法也只有支付更高的许可费，你需要从虚拟化节约的成本中划出这部分费用。

在软件支持上，Citrix的XenServer提供免费的XenMotion，具有高可用性功能。微软承诺Hyper-V今年晚些时候也会具有现场迁移能力。VMware的vSphere Essentials Plus针对小企业提供三台服务器的集中管理，具有高可用性，而更进一步的vSphere Advanced拥有普遍用途的vMotion，性能更加出众。

存储虚拟化技术检查物理主机内部

当被入侵的客户服务器开始传染其他服务器时，就会发生“混合威胁”。传统的安全工具可以在物理堆栈检测到异常行为，并发出警报。但是，由于存储虚拟化技术网络的通信方式设计在一台单一的物理主机里，黑客可能利用被入侵的虚拟机攻击同一台主机上的其他虚拟机。这样传统的通过网线的监测系统是不能发出警报的。

一些供应商开发了虚拟安全设备来对付这种阴暗的行为，寻找不经过物理网线的虚拟网络流量，并提供虚拟防火墙和入侵检测和预防。VMware在其VMsafe旗下有很多合作伙伴，提供特有的安全API，目的是使虚拟机的可见度能够类似于我们已经习惯的传统物理IP安全方式。

存储虚拟化技术加强控制

所有的主要供应商和少数第三方供应商提供了集中式的虚拟农场管理工具。管理员可以从单独的控制台控制和查看每一个虚拟机，这些工具是跨平台的，从而能够控制不同结构的环境。但是，这些控制台也存在着管理权限和角色的冲突。在过去，大企业可以依靠物理手段来进行访问限制，控制谁可以碰到某一台特定的服务器。而存储虚拟化技术移除了那些墙壁，基于网络的控制台可以让任何人坐在办公桌前操纵虚拟农场。

虚拟机的管理和服务器管理员的职责应当明确界定。处理敏感的医疗、金融或其他重要隐秘数据的服务器必须明确区别开。对所有虚拟设备、控制台和CLI管理应进行周密的考虑，IP接入规则和网络管理条例也必须明确界定。

存储虚拟化技术避免交叉对话

除了对主机网络的管理，对虚拟机迁移渠道的控制也应成为你主要考虑的问题，这关系到网络的性能和安全性。无论是vMotion还是XenMotion都拥有在两台主机之间现场迁移虚拟机的良好能力。数据传输应该发生在类似于iSCSI SAN的私有安全网络结构上。为现场迁移而设置专门的网络分段在所有虚拟主机平台上都应该是理所当然的工作。

关于存储虚拟化技术安全市场上的众多新产品，Neohapsis公司的Shipley说，他没有看到任何值得花钱的东西。大多数企业“应该把建立虚拟环境下的标准操作流程放在第一位，”他说，“太多的企业缺乏基本的管理、漏洞和补丁管理工具。”

把基本的东西做到位之后，在虚拟机防火墙或主机内部的虚拟安全设备上继续投资才会变得有意义。