隨著虛擬化不斷盛行起來，中小企業（SMB）逐漸開始加大對虛擬化的投入。由于中小企業整體實力較為薄弱，資金少，IT基礎設施不夠健全，因此借用虛擬化技術來幫助企業減少開支、提高效率、增強競爭力，就顯得理所當然。可很多人卻只會停留在虛擬化技術一個層面，并沒有全面考慮到虛擬化技術所應重視的安全問題。
 
正所謂“開開心心上班，平平安安回家”，如果僅僅重視虛擬化技術在中小企業中的具體應用，而完全忽視了虛擬化應用過程中所帶來的安全問題，則多少有些“五音不全”，畢竟“皮之不存毛將焉附”。
 
在說明虛擬化安全問題之前，我們先來了解當前虛擬化和虛擬化安全的概括。根據調查發現，虛擬化在大部分企業中并不是IT生產環境中的標準部署（如下圖）。只有34.2%的企業對超過50%的IT系統進行了服務器部署，而部署比例達到或者超過70%的企業只有11.4%。 

 
企業虛擬化水平

而計劃2012年底前實施虛擬化的應用中，絕大部分都把精力放在服務器虛擬化和存儲虛擬化方面（如下圖）。在2012年底，將有50.8%的企業會實現超過50%的服務器虛擬化部署，而存儲虛擬化部署的企業用戶將達33.3%，并且其虛擬化程度也將超過50%。 

 
截止2012年底不同署虛擬化應用部署情形

而在關于虛擬化安全方面的調查發現，有19.3%的企業認為經驗和技術的不足會影響虛擬化安全的規劃和實施。而在具體的影響虛擬化安全實現的因素當中，預算和前期投入也是一個十分重要的因素，另外虛擬化環境和平臺的安全管理的復雜性，也是一個突出的問題。當然，這一點也不奇怪，因為安全問題本身是需要前期投入的，因此在部署虛擬化的時候往往容易被企業用戶忽視。
 

 
制約虛擬化安全的因素 

其實復雜性問題歸結為兩點：首先是整體上的復雜性——相比較傳統的物理環境，虛擬環境下管理安全性會變得更為復雜。因為虛擬化會促使更多的系統出現，應用程序和數據會在不同的主機系統之間進行遷移和蔓延。其次是跨虛擬平臺和環境（不同服務商提供）的安全管理復雜性。異構虛擬化環境下安全管理的支持（根據現實中虛擬化的地位問題和結果）是成功部署的關鍵所在。

大部分企業都在尋找某種整合的解決方案，既幫助管理物理環境，又能幫助管理虛擬環境。有數據顯示，83.8%的企業偏向于選擇既能滿足物理環境又能滿足虛擬環境的管理解決方案。這也就意味著，不存在專為“虛擬化安全”的獨立市場。不過，那些傳統安全廠商可以通過現有IT安 全管理解決方案增加附加值來實現虛擬化安全。

 
中小企業對虛擬化安全方案的偏好選擇

另外，有關虛擬化安全方面的挑戰和問題的重要性，也備受人們的關注。其中最受人們關注的是“數據蔓延”，比如在沒有得到有效控制的情 形下數據遷移至不夠安全的環境中的風險。有調查數據顯示，41.7%的企業用戶認為這一點十分重要。緊接著數據蔓延的就是完善法規和審計規范。
 

 
虛擬化安全帶來的挑戰及其重要性

 另外，34%的用戶認為IT資產實現虛擬化后的業務風險評估也非常重要，持有“非常重要”和“重要”觀點的用戶總共大概有78.8%的企業。這也就意味著，業務風險和IT風險之間有著緊密的聯系。
 
IT基礎設施的根本性轉變，比如基礎設施實施虛擬化的遷移，可能會對業務的發展帶來積極或者消極的影響。因此，了解業務影響特別是潛在風險——比如此前所提的數據蔓延，就會顯得十分重要。
 
虛擬化安全并不是一個孤立的技術問題，而是需要根據業務需求和風險情況，與現有的IT安全舉措進行集成。因此，中小企業需要做的是在已有的基礎上進行擴充，而不是專門為虛擬化環境而重塑安全。然而，未來更好地管理分布式環境和減輕數據和服務器蔓延的風險，需要有某些特定功能來支持。
 

 
虛擬化環境下特權用戶帶來的風險

上圖中，展示了虛擬化環境下人們所關注的第一組問題——特別是特權用戶帶來的風險問題。特權用戶指權限獲得提升的用戶，如管理員、操作員以及技術用戶和其他類型的用戶。根據調查發現，企業對風險的看法與對此采取的措施存在顯著差異。幾乎有四分之三（73.2%）的企業關注hypervisor提供的優先特權以及由此帶來的潛在濫用問題。
 
Hypervisor的管理帳戶擁有廣泛的特權，由此，它會使得虛擬化環境出現一個新的攻擊窗口，并可以通過特權用戶的濫用行為將該窗口進行打開。在虛擬化環境下，這與權利的濫用有著十分緊密的關系——在某些情況下，甚至很難跟蹤到這些特權用戶的濫用行為。因此，引入PXM （Privileged Account/Identity/User Management，特權賬戶/身份/用戶管理），在虛擬化和云環境中顯得更加必不可少，以滿足法規遵從要求，并減輕這些環境風險。

虛擬化安全屬于IT戰略中的一個組成部分，它其實并不是安全解決方案，只是對虛擬化環境提出了更高更多的管理要求。下面，具體介紹如何實現虛擬化安全：
 
隔離平臺
 
虛擬化可以打通一切硬件資源的條塊分割實現互通有無，對于虛擬機來說，它們不能進行相互通信（除非通過網絡），而且資源會受到嚴格控制。對于虛擬交換機來說，不存在網絡共享的機制，但完全具備支持VLAN layer-2交換機的功能。

 
隔離平臺

 隔離平臺的主要目的在于，一旦發生緊急情況，可以最大程度地避免整個虛擬化環境系統的破壞，另外，也有助于虛擬化安全管理。在此基礎上，使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。
 
保護虛擬機
 
中小企業虛擬化安全，更多的是需要考慮到虛擬機的安全。用戶需要確保在不同虛擬機之間，用防火墻進行隔離和保護，而且要制定統一規范 的安全政策，未經授權或者未知來源都一律禁止訪問。在單個虛擬機上（包括物理主機），則需要安裝防病毒工具并保持更新。而對于此前提到過的特權用戶問題，特別需要注重管理。在利用特權用戶管理虛擬機的時候，特別要重視虛擬機端口和遠程訪問，禁用不使用的網絡端口，嚴格限制遠程訪問。
 
尋找專業技術顧問
 
中小企業部署虛擬化，本身就是一個艱巨浩大的工程，對于這些實力較為弱小的企業用戶來說，依靠自身力量往往很難對虛擬化環境進行充分保護。在這樣的情況下，中小企業可以考慮采用外包的形式，將虛擬化和虛擬化安全統一打包給專業的第三方進行統一管理。
 
另外，也需要加強企業內部IT管理員的技術培訓和規范操作，強化風險意識和安全觀念，在考慮到虛擬化安全的同時，也不能忽視了物理主機和網絡的安全防護工作。