虛擬化和云計(jì)算都是時(shí)下最熱門的話題。我們可以使用客戶端和服務(wù)器虛擬化技術(shù)來減小數(shù)據(jù)中心和客戶端規(guī)模，也可以整合客戶端和服務(wù)器來降低能耗需求，還可以從多個(gè)物理機(jī)器將服務(wù)器移至虛擬服務(wù)器上以解決機(jī)架空間問題。虛擬化是成功的，因?yàn)樘摂M化幫助我們解決了很多問題。

　　然而，還有一個(gè)方面是虛擬化沒有解決的，那就是安全問題。虛擬化技術(shù)本身并不是安全技術(shù)。事實(shí)上，虛擬化的安全問題能夠反映出物理環(huán)境的安全問題。安全問題在虛擬化環(huán)境中變得越來越重要，因?yàn)榘踩珕栴}將對虛擬服務(wù)器造成很嚴(yán)重影響。

　　正因如此，我們需要認(rèn)真考慮虛擬化環(huán)境核心安全概念以及相關(guān)部署問題。在所有網(wǎng)絡(luò)(尤其是虛擬客戶端和服務(wù)器網(wǎng)絡(luò))中都適用的一個(gè)重要概念就是：安全分區(qū)。安全區(qū)集合了承擔(dān)著共同安全風(fēng)險(xiǎn)或者安全威脅的資源，有幾種方法可以歸納安全區(qū)的特點(diǎn)：

　　·相同安全區(qū)的所有成員都承擔(dān)著共同的安全風(fēng)險(xiǎn)

　　·相同安全區(qū)的所有成員對于企業(yè)有著相似的價(jià)值，高價(jià)值資產(chǎn)不可能與低價(jià)值資產(chǎn)位于同一安全區(qū)

　　·面向互聯(lián)網(wǎng)的主機(jī)通常與面向非互聯(lián)網(wǎng)的主機(jī)位于不同安全區(qū)

　　·一個(gè)安全區(qū)受到破壞并不會(huì)影響其他安全區(qū)，受破壞的安全區(qū)應(yīng)該是隔離的，不會(huì)對其他區(qū)造成任何影響

　　·安全區(qū)必須通過物理或者邏輯方式進(jìn)行分割，必須使用訪問控制設(shè)備或者軟件來控制用戶對不同安全區(qū)的訪問權(quán)?？梢允褂梅阑饓韯?chuàng)建物理分割，或者使用先進(jìn)軟件方式(如Ipsec)來創(chuàng)建虛擬網(wǎng)絡(luò)分割。

　　在虛擬化環(huán)境和物理環(huán)境中都應(yīng)該進(jìn)行安全分區(qū)和安全分割，例如可以將安全區(qū)按照以下三種簡單分區(qū)進(jìn)行分割：

　　·互聯(lián)網(wǎng)邊緣安全區(qū)

　　·客戶端系統(tǒng)安全區(qū)

　　·網(wǎng)絡(luò)服務(wù)安全區(qū)

　　下圖顯示的是一個(gè)簡單的服務(wù)器整合，主要側(cè)重于虛擬化項(xiàng)目。這個(gè)結(jié)構(gòu)中有一個(gè)虛擬服務(wù)器，該虛擬服務(wù)器控制著防火墻、域控制器、郵件服務(wù)器以及文件服務(wù)器。這些虛擬機(jī)都連接到相同的物理網(wǎng)絡(luò)中(就像客戶端系統(tǒng)一樣)。

　　這其實(shí)是一個(gè)很糟糕的安全模式，原因如下：

　　·面向互聯(lián)網(wǎng)的虛擬機(jī)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于同一個(gè)虛擬服務(wù)器上，互聯(lián)網(wǎng)防火墻虛擬機(jī)出現(xiàn)問題時(shí)，將會(huì)對網(wǎng)絡(luò)服務(wù)機(jī)器造成負(fù)面影響，而網(wǎng)絡(luò)服務(wù)器屬于不同安全區(qū)。

　　·客戶端系統(tǒng)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于相同的物理網(wǎng)絡(luò)，客戶端系統(tǒng)出現(xiàn)問題時(shí)，將會(huì)對網(wǎng)絡(luò)服務(wù)虛擬機(jī)造成不良影響?？蛻舳讼到y(tǒng)應(yīng)該與網(wǎng)絡(luò)服務(wù)虛擬機(jī)進(jìn)行分割，放置在不同的安全區(qū)。