提起x86虛擬化，很多人都會(huì)覺(jué)得這是一個(gè)花費(fèi)不多成本但是可以讓自己的IT潛能大幅度提高的好辦法。然而，你知道嗎，在這后面，卻存在著非常大的安全隱患。

最近，咨詢(xún)公司Gartner開(kāi)始對(duì)那些身處基礎(chǔ)架構(gòu)虛擬化進(jìn)程中的企業(yè)發(fā)出警告，并一再?gòu)?qiáng)調(diào)安全防范在虛擬化過(guò)程中日趨重要，入侵者首先會(huì)從體系架構(gòu)層面著手，甚至是管理程序本身也存在安全隱患，容易成為惡意黑客攻擊的目標(biāo)。

《虛擬機(jī)管理指南》一書(shū)的作者，虛擬化專(zhuān)家Anil Desai表示：“軟件開(kāi)發(fā)人員、內(nèi)聯(lián)網(wǎng)用戶(hù)，甚至在數(shù)據(jù)中心服務(wù)器上擁有很多特權(quán)的用戶(hù)都正在創(chuàng)建虛擬機(jī)，并且，他們不具備相關(guān)的IT知識(shí)，只是看中它們易于部署且有助于完成某些工作的能力。”這是普遍存在的一個(gè)問(wèn)題。

當(dāng)然，這個(gè)問(wèn)題不是不能解決的，我們也沒(méi)有必要被虛擬機(jī)泛濫搞得人心惶惶，我們還是可以通過(guò)一些辦法來(lái)逐步解決這些問(wèn)題的。

虛擬化是整個(gè)IT部門(mén)的事

很多IT部門(mén)都覺(jué)得虛擬化可以提高服務(wù)器的性能，因此他們把虛擬化任務(wù)完全交給了服務(wù)器部門(mén)，而把IT團(tuán)隊(duì)的安全、存儲(chǔ)和網(wǎng)絡(luò)人員關(guān)在了門(mén)外。這將造成與虛擬化技術(shù)或產(chǎn)品內(nèi)在缺陷無(wú)關(guān)的安全問(wèn)題。其實(shí)虛擬化中有90%的工作是靠規(guī)劃，而規(guī)劃必須有整個(gè)團(tuán)隊(duì)的參與，其中包括網(wǎng)絡(luò)、安全和存儲(chǔ)團(tuán)隊(duì)。所以，建議你在進(jìn)行虛擬化前先向?qū)＜易稍?xún)規(guī)劃一下自己企業(yè)的實(shí)際情況，你可以從利用工具或聘請(qǐng)專(zhuān)家來(lái)審查虛擬基礎(chǔ)架構(gòu)入手，然后將一個(gè)大目標(biāo)拆分成若干個(gè)小目標(biāo)來(lái)逐步完成。

嚴(yán)格控制虛擬機(jī)的創(chuàng)建

增加一個(gè)虛擬機(jī)很簡(jiǎn)單，只需要幾分鐘就可以了，但是當(dāng)虛擬機(jī)很多的時(shí)候，管理就成了大問(wèn)題。所以，問(wèn)題要從最初入手。要設(shè)立一個(gè)制度，授予哪些人可以創(chuàng)建虛擬機(jī)，并采用審核制，審批的流程和創(chuàng)建物理服務(wù)器一樣，只有這些人有這個(gè)權(quán)限，而不是像現(xiàn)在這樣，隨便的使用者都可以輕而易舉的創(chuàng)建。當(dāng)然，VMware的VirtualCenter 管理工具與Vizioncore的工具能幫助IT管理者管理虛擬機(jī)的增長(zhǎng)過(guò)快問(wèn)題。

利用好手頭的安全工具

虛擬化帶來(lái)的安全問(wèn)題用現(xiàn)有的安全工具是否可以解決呢？回答是肯定的，正是因?yàn)楝F(xiàn)在那些不法的入侵者對(duì)虛擬化的漏洞還不特別熟悉，所以我們現(xiàn)在將所有安全工具組織起來(lái)，集成到虛擬化產(chǎn)品中，可以起到很好的效果，亡羊補(bǔ)牢都不晚，我們現(xiàn)在開(kāi)始動(dòng)手，一切都還來(lái)得及。

這里我們會(huì)推薦一些安全工具，包括IBM的Tivoli Access Manager、Cisco 的防火墻工具以及Symantec的入侵檢測(cè)系統(tǒng)（IDS）管理工具。Reflex Security的Virtual Security Appliance（VSA）是少數(shù)需要引起關(guān)注的產(chǎn)品之一，它對(duì)虛擬入侵檢測(cè)系統(tǒng)尤其有用，在虛擬機(jī)所在的物理箱中為其添加了一層安全策略， 這可以防止虛擬機(jī)免遭攻擊。

當(dāng)然，還有一些虛擬化安全工具值得關(guān)注：比如PlateSpin就是一款著名的從物理到虛擬的工作負(fù)荷轉(zhuǎn)換和管理工具；Vizioncore是一款文件層次備份工具；Akorri是一款績(jī)效管理和工作負(fù)荷平衡工具；而最近被Dell收購(gòu)的存儲(chǔ)廠(chǎng)商EqualLogic以其 iSCSI 存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）產(chǎn)品來(lái)優(yōu)化虛擬化而聞名。

管理好客戶(hù)端

許多用戶(hù)現(xiàn)在喜歡在桌面或筆記本電腦上使用虛擬機(jī)來(lái)區(qū)分工作，或區(qū)分公事與私事。有人使用VMware Player來(lái)運(yùn)行多重系統(tǒng);比如使用Linux作為基本系統(tǒng)，但是在Windows應(yīng)用上創(chuàng)建虛擬機(jī)。

如果這些虛擬機(jī)沒(méi)有達(dá)到補(bǔ)丁級(jí)別，那會(huì)給你增添很多風(fēng)險(xiǎn)，那些運(yùn)行流氓軟件的電腦能夠傳播病毒，甚至傳播到你的物理網(wǎng)絡(luò)上。

如果你允許用戶(hù)在電腦上安裝虛擬機(jī)，那么像VMware Lab Manager和其它管理工具都能幫助IT管理者控制并監(jiān)管那些虛擬機(jī)