虛擬化環(huán)境可能更便宜、擁有更低的碳排放量、快速創(chuàng)建“虛擬機”，但是沒有實實在在的邊緣，因而很難確保其安全。

Softtek是拉美地區(qū)主要的IT服務(wù)提供商之一，也是全球近岸行業(yè)的開創(chuàng)者。該公司的項目經(jīng)理兼業(yè)務(wù)主管Leo Navarro說：“在過去的幾個月，我們與《財富》50強企業(yè)的首席信息安全官進行了多次交談；我們注意到，他們對于虛擬化環(huán)境安全的工具需求有所增加?，F(xiàn)在有好多企業(yè)已經(jīng)部署了服務(wù)器虛擬化和桌面虛擬化的解決方案。不過，一旦這么做，它們就得為虛擬化環(huán)境重新考慮整體安全策略。”

Navarro預(yù)測，2012年會出現(xiàn)這一幕：許多公司的資金將投入到簡化更新過程的企業(yè)級反病毒套件、監(jiān)控數(shù)據(jù)流動的數(shù)據(jù)丟失預(yù)防（DLP）工具、保護對虛擬服務(wù)器和虛擬桌面訪問的雙因子驗證機制、加快用戶資源配置過程的工具以及數(shù)據(jù)加密工具。

跨國IT公司Unisys的TCIS產(chǎn)品與技術(shù)事業(yè)部副總裁Rod Sapp說：“許多分析師表示，安全是用戶采用云計算的第一大障礙，安全問題削弱了云計算的優(yōu)點。在共享基礎(chǔ)架構(gòu)的多層環(huán)境中，許多公司經(jīng)常在一個角落建立私有云，那樣它們不會面臨風(fēng)險。但迫使云計算項目后退到數(shù)據(jù)中心某一角落帶來了問題，那就是你削弱了云計算的根本優(yōu)點，即提高基礎(chǔ)架構(gòu)的利用率和成本效益。”

評估需要做什么工作

GFI軟件公司的安全研究經(jīng)理Emmanuel Carabott說：“虛擬化環(huán)境中的安全可以分為兩大類：訪客操作系統(tǒng)的安全，這需要采取與非虛擬機環(huán)境同樣的安全方法；另一個是虛擬環(huán)境基礎(chǔ)架構(gòu)的安全。虛擬化解決方案包含幾款可以管理主機和訪客的管理工具；針對這每一種管理工具，都需要考慮特定的安全問題。”

公司首先得明確自己面臨的風(fēng)險有多大。

Carabott補充說：“從虛擬化的角度來看，幾個主要的安全問題是，個人在未經(jīng)授權(quán)的情況下訪問虛擬環(huán)境管理工具，劫持虛擬機及/或隨意進出虛擬機，以及破壞企業(yè)中所用的變更管理系統(tǒng)。這每一個安全問題都需要從防火墻到安全掃描器的專業(yè)解決方案。”

企業(yè)引入了削減成本的措施，加上旨在采用更靈活的工作策略，這就更需要確保虛擬化環(huán)境的安全。Navarro說：“更多的公司可能會考慮實施‘帶來自己的設(shè)備’（BYOD）計劃，那樣他們的員工可以自行選擇工作時所用的設(shè)備。這些計劃要求公司支持各種設(shè)備正常運營，為此先要確保自己的虛擬環(huán)境安全，然后要將核心應(yīng)用程序擴展到移動設(shè)備上。”

虛擬機帶來的挑戰(zhàn)

無論貴公司是不是允許員工將自己的設(shè)備連接到企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)專業(yè)人員都必須提防確保虛擬環(huán)境安全所帶來的挑戰(zhàn)。Carabott說：“從理論上來說，為虛擬化環(huán)境確保安全與為物理環(huán)境確保安全一樣輕松。不過實際上，情況并非總是如此，因為虛擬化環(huán)境很容易創(chuàng)建；員工在自己的機器上建立虛擬化環(huán)境，而不是要求額外的物理機或者通過適當(dāng)?shù)那纴砩暾?，這種事并非前所未聞。”

這讓網(wǎng)絡(luò)管理員們頗有頭痛。要是虛擬環(huán)境沒有集中控制起來，那么連最基本的安全措施落實到位都無法保證。

Carabott補充說：“如果某個員工不關(guān)注安全，以為即使虛擬機受到了危及或出現(xiàn)了崩潰，也只要恢復(fù)干凈的副本就行，情況就會變得更糟糕。遺憾的是，這種想法是有問題的，因為這個員工沒有認識到，如果虛擬機受到了危及，它就有可能成為不法分子手里的一塊跳板，得以更深入地攻擊企業(yè)的基礎(chǔ)架構(gòu)。”

安全實踐

盡管面臨挑戰(zhàn)，但確保虛擬化環(huán)境安全是可以做到的。

Sapp說：“在優(yōu)利系統(tǒng)公司，我們使用Unisys保密解決方案，在安全的多租戶環(huán)境中，對從端點到數(shù)據(jù)中心的信息進行加密和裂位（bit-splitting）。這就排除了別人訪問你的基礎(chǔ)架構(gòu)和數(shù)據(jù)這種可能性。”

優(yōu)利系統(tǒng)公司在政府行業(yè)證實了這項技術(shù)后，剛開始投入到商業(yè)行業(yè)。Sapp認為，現(xiàn)在公司企業(yè)可以采取更多的措施來確保虛擬化環(huán)境安全、對用戶友好。“我們正在將很高的安全級別與針對虛擬化環(huán)境和云計算的資源配置和自動化工具集成起來。”

不管確保虛擬化環(huán)境安全似乎有多困難，但是最糟糕的做法是什么都不做。每個環(huán)境都需要加強安全，無論它是不是虛擬化環(huán)境。說白了，關(guān)鍵就是為你網(wǎng)絡(luò)面臨的風(fēng)險尋求合適的安全級別以及合適的工具。