保護(hù)虛擬化的網(wǎng)絡(luò)資源的安全也許有些特殊。但是，這個(gè)任務(wù)并非那樣復(fù)雜。這個(gè)任務(wù)甚至有點(diǎn)似曾相識(shí)。dinCloud是一家位于洛杉磯的云服務(wù)提供商，提供托管的虛擬桌面、服務(wù)器和云存儲(chǔ)。這家公司向其中小企業(yè)用戶提供安全保護(hù)已經(jīng)證明是一項(xiàng)非常簡(jiǎn)單的任務(wù)。

dinCloud首席技術(shù)官巴里·韋伯(Barry Weber)在談到虛擬化安全時(shí)表示，我認(rèn)為這只是封鎖和處理的事情。虛擬化本身不會(huì)產(chǎn)生重大的安全問(wèn)題。虛擬化增加的唯一的東西是一層復(fù)雜性，那里可能有額外的安全漏洞。但是，這個(gè)不利的方面是仍然有許多的物理設(shè)備。而且物理設(shè)備和虛擬設(shè)備都能利用經(jīng)過(guò)時(shí)間檢驗(yàn)的非常標(biāo)準(zhǔn)的方式進(jìn)行保護(hù)。

考慮到這個(gè)問(wèn)題，dinCloud部署了Vyatta公司的防火墻。當(dāng)用戶訂購(gòu)其第一臺(tái)服務(wù)器的時(shí)候，dinCloud創(chuàng)建一個(gè)私有云的最初步驟是建立一個(gè)虛擬防火墻。然后，用戶可以根據(jù)自己的希望劃分自己的專用IP地址。

今年1月加入dinCloud公司的韋伯說(shuō)，虛擬云中的安全與企業(yè)在內(nèi)部應(yīng)用的安全技術(shù)是一樣的。我去過(guò)許多遇到安全難題的企業(yè)。這些企業(yè)最終都在云中得到了更好的安全，比他們自己以前應(yīng)用的安全技術(shù)都要好。

虛擬化安全是物理技術(shù)的“簡(jiǎn)單替代者”

安全顧問(wèn)們表示，dinCloud使用比較簡(jiǎn)單的技術(shù)處理虛擬化的網(wǎng)絡(luò)安全也許會(huì)證明這個(gè)規(guī)則，沒(méi)有例外。

SystemExperts公司高級(jí)顧問(wèn)保羅·希爾(Paul Hill)說(shuō)，機(jī)構(gòu)在虛擬設(shè)置中遇到的問(wèn)題與在物理設(shè)置中遇到的問(wèn)題非常相似。物理世界使用的安全控制在虛擬環(huán)境中也可以工作，不需要適應(yīng)：這通常是一個(gè)直接的轉(zhuǎn)換。

因此，Vyatta等虛擬化的網(wǎng)絡(luò)安全廠商能夠提供把斷網(wǎng)故障降到最低程序的技術(shù)。希爾指出，這些技術(shù)的目標(biāo)是成為對(duì)應(yīng)的物理設(shè)備的簡(jiǎn)單的替代者。

這個(gè)市場(chǎng)中的其它廠商包括思科、惠普、HyTrust、Juniper Networks和VMware。思科今年2月推出了Nexus 1000V InterCloud產(chǎn)品。許多公司說(shuō)，這個(gè)產(chǎn)品把虛擬網(wǎng)絡(luò)從公司的數(shù)據(jù)中心安全地?cái)U(kuò)展到了云服務(wù)提供商。

韋伯說(shuō)，軟件定義網(wǎng)絡(luò)是一個(gè)好主意。但是，他補(bǔ)充說(shuō)，軟件定義網(wǎng)絡(luò)技術(shù)還不適合在商業(yè)性的云環(huán)境中應(yīng)用。軟件定義網(wǎng)絡(luò)要達(dá)到高級(jí)程度和吸引早期應(yīng)用者以外的大量的購(gòu)買者還需要五年時(shí)間。

虛擬化安全的商業(yè)影響：更簡(jiǎn)單的云應(yīng)用

虛擬化網(wǎng)絡(luò)安全的應(yīng)用能夠支撐一家公司的商業(yè)模式。例如，dinCloud把目標(biāo)對(duì)準(zhǔn)中小企業(yè)，其目的是簡(jiǎn)化包括安全考慮在內(nèi)的云應(yīng)用。韋伯表示，已經(jīng)縮小規(guī)模的企業(yè)也許行沒(méi)有專門從事安全工作的人員。不管怎樣，保護(hù)網(wǎng)絡(luò)都不是他們核心的業(yè)務(wù)。

中小企業(yè)都有很大的安全需求。韋伯說(shuō)，一個(gè)dinCloud客戶需要500個(gè)通過(guò)其防火墻的點(diǎn)對(duì)點(diǎn)的隧道。我們?yōu)樗麄児芾砟切┧淼馈Ｎ覀兊哪繕?biāo)是盡可能地使這個(gè)技術(shù)更簡(jiǎn)單。

Vyatta產(chǎn)品管理和營(yíng)銷高級(jí)經(jīng)理Dan Tuchler說(shuō)，虛擬化網(wǎng)絡(luò)安全還能夠?yàn)橛脩籼峁└呒?jí)的云應(yīng)用。一家擁有在云中的虛擬機(jī)的企業(yè)通常有一個(gè)大的子網(wǎng)。這種情況使用戶很難像過(guò)去那樣制作應(yīng)用。

例如，一家公司也許適應(yīng)創(chuàng)建一個(gè)包括網(wǎng)站服務(wù)器、商業(yè)邏輯和數(shù)據(jù)庫(kù)層的面向網(wǎng)站的應(yīng)用，每一層都在自己的子網(wǎng)中分段。路由器連接這些子網(wǎng)，防火墻保護(hù)這些層。在虛擬環(huán)境中復(fù)制這個(gè)設(shè)置需要用戶在云中建立單獨(dú)的子網(wǎng)。通訊流量會(huì)通過(guò)路由器從一個(gè)云子網(wǎng)流到數(shù)據(jù)中心，然后再流到其它的云子網(wǎng)。

另一方面，企業(yè)能夠把虛擬路由器和防火墻放在云中，避免無(wú)效的路由流量通過(guò)數(shù)據(jù)中心。

虛擬安全的挑戰(zhàn)：管理虛擬機(jī) 避免資源限制

信息保障和網(wǎng)絡(luò)安全公司EmeSec的首席執(zhí)行官瑪麗亞·霍頓(Maria Horton)說(shuō)，雖然虛擬化安全不是一個(gè)沉重的負(fù)擔(dān)，但是，它包含的復(fù)雜性是多種多樣的。每一種情況都不同。

霍頓稱，虛擬安全中的一個(gè)挑戰(zhàn)是不斷地標(biāo)記虛擬機(jī)和虛擬應(yīng)用在服務(wù)器之間和數(shù)據(jù)中心之間的遷移。如果用戶不知道他們的應(yīng)用程序和數(shù)據(jù)的確切位置，用戶要監(jiān)視設(shè)置以及這些設(shè)置正在發(fā)生的變化過(guò)程是很困難的。

希爾補(bǔ)充說(shuō)，我們發(fā)現(xiàn)一些公司沒(méi)有按時(shí)對(duì)其物理安全設(shè)備使用補(bǔ)丁。當(dāng)一臺(tái)物理機(jī)器托管許多虛擬機(jī)的時(shí)候，這個(gè)安全問(wèn)題會(huì)更嚴(yán)重。