面對虛擬服務器和虛擬環(huán)境，擴充型安全方案的問題出在哪里呢?太多的人忘了這一點：VMware公司的虛擬基礎架構(gòu)3(VI3)只是整個虛擬環(huán)境(VE)。假定虛擬環(huán)境的核心是VMware ESX、VMware ESXi，還可能包括VMware服務器(VMware Server)，但整個環(huán)境不是就只有這個核心。我們不妨考慮一下貴企業(yè)在保護虛擬化環(huán)境安全時所要考慮的許多組成部分。

VI3包括VMware集群(VMware Clustering)和獨立主機，而后者又集成了VMware動態(tài)資源調(diào)度(DRS)、VMware高可用性(HA)、VMotion和Storage VMotion等內(nèi)容。

接下來，還有貴企業(yè)里面使用的存儲技術，這是本地存儲還是遠程存儲?比如iSCSI、基于網(wǎng)絡附加存儲(NAS)的網(wǎng)絡文件系統(tǒng)(NFS)、存儲區(qū)域網(wǎng)絡(SAN)物理設備，還是Lefthand Networks公司的虛擬SAN設備(Virtual SAN Appliance)。一旦我們討論存儲，就有必要討論虛擬機如何訪問存儲資源：是使用虛擬機的磁盤文件、使用與提供給虛擬化主機的邏輯單元號(LUN) 對應的原始磁盤圖、使用虛擬機里面的iSCSI啟動器、直接通過網(wǎng)絡訪問NAS或者SAN，還是使用光纖通道N_Port ID虛擬化(NPIV)?

如果涉及到網(wǎng)絡(幾乎總是這樣)，我們就有必要討論涉及的網(wǎng)絡，以及如何訪問虛擬機。虛擬機通過非軍事區(qū)(DMZ)來加以訪問嗎?還是通過生產(chǎn)網(wǎng)絡、管理網(wǎng)絡或者測試網(wǎng)絡來訪問?虛擬機之間的聯(lián)系方式是采用某種特殊的應用軟件、虛擬專用網(wǎng)(VPN)、安全套接字協(xié)議層隧道(SSL Tunnel)、遠程桌面協(xié)議(RDP)、虛擬桌面基礎架構(gòu)(VDI)，還是基于VMware虛擬基礎架構(gòu)客戶端(VMware Virtual Infrastructure Client)網(wǎng)絡的遠程控制臺?

為了創(chuàng)建及管理虛擬機，現(xiàn)在我們需要引入這個問題：如何管理整個環(huán)境?是通過使用VMware軟件開發(fā)包(SDK)的管理軟件、通過IBM的虛擬創(chuàng)新中心(VIC)連接到VMware的虛擬中心(Virtual Center)來管理?還是甚至通過單一主機、VMware實驗室管理器(VMware Lab Manager)、VMware生命周期管理器(VMware Life Cycle Manager)，還是通過整套服務控制臺的剩余部分來管理?

所有這一切還只是大致體現(xiàn)了組成虛擬環(huán)境的各部分，無論你是使用VMware公司的技術，還是使用其他廠商的技術。整個過程的每一步都需要虛擬化安全。虛擬環(huán)境部署后，可以添加擴充型安全方案，但這充其量也就是權(quán)宜之計。應當自從一開始部署虛擬基礎架構(gòu)，就應當考慮到安全。

切記：虛擬化安全不但適用于虛擬環(huán)境，還適用于接觸虛擬環(huán)境或者與之連接的部分，包括防火墻、路由器、網(wǎng)絡、入侵檢測和預防系統(tǒng)(IDS/IPS)、存儲和交換結(jié)構(gòu)。交換架構(gòu)里面還包括虛擬局域網(wǎng)(VLAN)和N_Port ID虛擬化(NPIV)。

在每一個設計和實施步驟的虛擬化安全規(guī)劃工作可以幫助你處理一些重要問題，包括數(shù)據(jù)混合(data comingling)、網(wǎng)絡攻擊預防、調(diào)查取證、審計、災難恢復和業(yè)務連續(xù)性。

這就是為什么你在考慮虛擬安全時，要考慮的絕不僅僅是ESX服務器。