虛擬化部署的四大安全問題

虛擬化的蛋糕有多美味，工序就有多複雜。是吃飽還是吃好，要吃多少，還要根據肚量來。今天我們就來討論一下吃了這塊蛋糕以後會不會鬧肚子的問題：服務器虛擬化部署的安全問題。

    虛擬化安全問題一：單點故障風險

    要考慮服務器硬件性能是否滿足需求。在一臺物理服務器上部署承載企業IT應用的多個虛擬服務器時，要提前做好應對物理硬件發生故障的準備，否則不能及時恢復將給企業帶來災難性的後果。

    因此我們推薦同時使用另一臺物理服務器做鏡像備份和冗餘設置，雖然增加了虛擬化成本，但當故障發生時，備用服務器能立刻上線運行，有效避免了服務器物理損傷而導致的全盤虛擬服務器崩潰。這也是大部分企業所採用的方法，畢竟誰也保證不了物理服務器永遠恆定。同時，對供電系統，防雷電干擾，散熱系統等等包括自然災害的相關因素都必需考慮到。

    當然最好爲每一臺虛擬機映射一個獨立的物理磁盤分區，以便將其從邏輯上隔離，起到互不干擾的效果。尤其針對大型企業的服務器集羣。當某一塊物理硬件出現故障，其對應的應用應該能及時從這臺機器上動態遷移到別的機器上。這需要通過VMware、微軟等虛擬化平臺軟件實現，保證了應用服務不會異常中斷，提供了高可靠性，減少損失。

    虛擬化安全問題二：潛在***威脅

    對於訪問者而言虛擬服務器和物理服務器沒有區別，同樣面臨被人惡意***的風險，一旦一臺有漏洞的虛擬機被攻陷，安全威脅就可以透過網絡散佈到其它的虛擬機器，威脅整個虛擬機管理系統。

    解決辦法要依賴於管理員，大多安全隱患就存在於虛擬機系統補丁的落後。更新系統補丁、應用程序補丁在內的補丁的及時性，對所允許運行的服務、開放的端口等等都應進行審慎的考量，每臺虛擬機的安全策略也應當針對不同的作用而有所區別。保護物理服務器的穩定安全，是安全防範工作的重中之重，畢竟物理服務器是虛擬服務器的根本。

     網絡構架對安全的防護也很重要，體現在各虛擬機的網絡獨立性。通過VLAN和不同的lP網段的方式可以實現對各虛擬機的邏輯隔離，有相互通信需求的虛擬服務器可採用***的方式來進行網絡連接，保護它們之間網絡傳輸的安全。此外，管理員還要有明確的監控手段，如果不能瞭解各個虛擬機之間聯繫，你將面對一個失控的虛擬服務器網絡。

    虛擬化安全問題三：病毒侵害

    關於病毒的防護，通常的做法是將每一個獨立的虛擬機單獨安裝殺毒軟件以及防***工具等。但其總體佔用的系統資源對服務器而言也是很可怕的，只怕沒等病毒***，光憑衆多殺毒軟件所帶來的系統冗餘就給你的系統拖得疲憊不堪了。

    現在有個好方法，就是寄希望於虛擬化平臺廠商與殺毒軟件廠商合作，專門開發出用於虛擬化平臺整合的殺毒軟件，相當於爲每一臺虛擬機設置一臺安全檢查設備，去過濾進出這些虛擬機的所有流量，於是虛擬機器就不需要安裝任何的軟件便能得到保護。只是目前還沒有此類平臺的相關消息，相信隨着服務器虛擬化的普及發展，一切都會有的。

    虛擬化安全問題四：虛擬機的數據安全保護

    究其根本，虛擬機只是存儲在實體硬盤的幾個文件，一旦有人取得存取硬盤的權限，就能將這些文件複製到其它裝置，泄露出去。因此在權限管理上應提出更高的要求，對共享文件也應進行加密處理。

     每臺虛擬服務器，都必需實施相應的備份策略，對配置文件、虛擬機文件及其中的重要數據都要進行備份。需要做完善的備份計劃，包括完整備份、增量備份或差量備份方式。此外，將數據和備份數據保存至其它服務器是行之有效的安全保護方法，但是這也增加了成本和管理複雜度