虛擬化現(xiàn)在成了標(biāo)準(zhǔn)作業(yè)程序。它同時也打破了傳統(tǒng)的防御機(jī)制，因?yàn)樽璧K了可見性和控制性，帶來了新的攻擊途徑，增加了復(fù)雜性，而且使網(wǎng)絡(luò)團(tuán)隊與服務(wù)器團(tuán)隊之間的管理角色模糊起來。《信息周刊》雜志在2012年調(diào)查了數(shù)據(jù)中心的現(xiàn)狀，結(jié)果顯示，沒有回頭路可走，哪怕我們想走回頭路：到明年年底之前，256名調(diào)查對象中有一半會將生產(chǎn)環(huán)境中至少50%的服務(wù)器進(jìn)行虛擬化處理;26%的調(diào)查對象會將75%或更多比例的服務(wù)器進(jìn)行虛擬化處理。所以，虛擬化安全市場的創(chuàng)新停滯不前頗讓人遺憾。阻礙體現(xiàn)在兩個方面：首先，虛擬機(jī)管理程序還沒有遇到重大的安全事件，這讓IT人士洋洋自得。其次，廠商們不愿意與VMware較量;VMware擁有市場的大部分份額，還控制著API(應(yīng)用編程接口)，鑒于企業(yè)界很少采用與之競爭的服務(wù)器虛擬機(jī)管理程序，VMware稱得上是巨無霸。

這樣一來，擺在我們面前的確保虛擬機(jī)管理程序網(wǎng)絡(luò)安全的主要產(chǎn)品數(shù)量有限。其中兩個產(chǎn)品：VMware自己的vShield和瞻博網(wǎng)絡(luò)的vGW(虛擬網(wǎng)關(guān)，從Altor收購而來)使用由VMware的VMsafe安全計劃提供的API。作為這個市場的另一個大佬，思杰的技術(shù)立足于專有的Nexus 1000V虛擬交換機(jī)，雖然該交換機(jī)是思科與VMware合作開發(fā)出來的，但是并不依賴VMsafe。思科還沒有完全加入VMware的行列;它暗示，這項技術(shù)可以與其他虛擬機(jī)管理程序協(xié)同使用。

如果你運(yùn)行非VMware虛擬機(jī)管理程序，就應(yīng)該考慮Vyatta公司的Network OS產(chǎn)品，這款產(chǎn)品與思杰XenServer和紅帽KVM兼容，而且與VMware的vShield Edge一樣，包括NAT和DHCP服務(wù)器。Vyatta還增添了一種復(fù)雜的路由引擎，可支持IPv4和IPv6動態(tài)路由協(xié)議，比如BGP(邊界路由協(xié)議)、OSPF(開放最短路徑優(yōu)先)和RIP(路由信息協(xié)議)。

誠然，眼下非VMware虛擬機(jī)管理程序陣營很小：對最近接受《信息周刊》雜志虛擬化管理調(diào)查的對象當(dāng)中90%的人來說，某個版本的VMware是主要的虛擬機(jī)管理程序平臺。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)這些開源云系統(tǒng)日益流行起來，這個市場會變得更有活力，變數(shù)更大。微軟已經(jīng)對Hyper-V作了存儲和遷移方面的一些改進(jìn)，目的是為了吸引企業(yè)，但是在網(wǎng)絡(luò)安全方面還無法與VMsafe抗衡，不過第三方正在開始填補(bǔ)這方面的不足。另外別忽視了像前Xen架構(gòu)師Simon Crosby領(lǐng)導(dǎo)的Bromium這些新興企業(yè)，它們致力于虛擬化和云安全。一種全新的平臺可能會使得安全虛擬化成為一項最低要求的功能，從而提高競爭門檻。Crosby暗示Bromium大有機(jī)會，他表示他認(rèn)為五年后，大多數(shù)IT工作負(fù)載將放在云端——無論是公共云還是私有云;而虛擬機(jī)管理程序“唯一的價值將體現(xiàn)在安全上。”

不過眼下，VMware的vShield系列為虛擬機(jī)安全市場確立了標(biāo)準(zhǔn)。更重要的是，它實(shí)際上界定了與邏輯網(wǎng)絡(luò)和虛擬機(jī)邊界相對應(yīng)的三個部分：虛擬機(jī)內(nèi)部(第2層，虛擬交換機(jī)里面)、虛擬機(jī)之間(第3層，私有云中的物理主機(jī)之間)以及訪客操作系統(tǒng)(虛擬機(jī)里面的應(yīng)用程序控制導(dǎo))。我們會深入探討每一層，但這種結(jié)構(gòu)是IT團(tuán)隊規(guī)劃安全戰(zhàn)略的良好基礎(chǔ)。

現(xiàn)在靠你自己

高效的安全需要專門的技術(shù)專長，因而很少有人認(rèn)為開源項目本身會為KVM或Xen提供尚可接受的安全性。雖然微軟擁有為Hyper-V開發(fā)像vShield這種技術(shù)所需要的資源和人才，但它還沒有這么做。瞻博網(wǎng)絡(luò)公司的首席安全架構(gòu)師Christofer Hoff說：“微軟承認(rèn)自己不是網(wǎng)絡(luò)專家。”他補(bǔ)充說，他預(yù)計雷德蒙(注：微軟總部所在地)會圍繞Hyper-V精心打造一個安全生態(tài)系統(tǒng)，就像VMware依托VMsafe合作伙伴計劃建立聯(lián)盟那樣。

所有虛擬安全軟件存在的一個問題是，幾乎不可能把一家公司自己的安全策略擴(kuò)展到公共云。對采用VMware技術(shù)的公司來說，最容易的辦法就是采用VMware的云管理服務(wù)：vCloud，這是VMware眼里的一種戰(zhàn)略性優(yōu)勢。不過，對使用亞馬遜或Rackspace云服務(wù)的公司來說，你進(jìn)入到公共云后，你的虛擬化安全策略就被拋到了窗外。Hoff認(rèn)為，開發(fā)一套支持多種平臺和多家提供商的一致的高級安全API是虛擬化安全領(lǐng)域面臨的下一大挑戰(zhàn)。不過他承認(rèn)，行業(yè)想就這樣一套標(biāo)準(zhǔn)化的、可以互換的安全協(xié)議達(dá)成共識，還有很長一段路要走。

那么，IT人員在此之前該怎么辦呢?

準(zhǔn)備把傳統(tǒng)防御機(jī)制和虛擬防御機(jī)制結(jié)合起來，偏向于更多地使用虛擬化。你選擇的安全軟件將取決于你使用哪些虛擬化平臺，但是也要讓你的廠商認(rèn)識到：支持一系列不同的虛擬機(jī)管理程序是個賣點(diǎn)。如果你打算實(shí)施桌面虛擬化，更是如此：從切實(shí)可行的廠商這方面來看，桌面虛擬化市場是個廣闊得多的市場。虛擬桌面基礎(chǔ)設(shè)施(VDI)可以控制混亂的PC環(huán)境，因而更容易確保設(shè)備得到安全配置、始終如一地打上補(bǔ)丁。如果你在使用VDI，就可以把端點(diǎn)保護(hù)從訪客操作系統(tǒng)移入到虛擬機(jī)管理程序，把獨(dú)立的、基于代理軟件的客戶端反惡意軟件系統(tǒng)換成端點(diǎn)虛擬安全設(shè)備。這樣就能夠大幅提升性能和可管理性。

確保服務(wù)器和網(wǎng)絡(luò)虛擬化是你安全團(tuán)隊的使命和項目計劃的一部分，而不是由虛擬機(jī)管理員實(shí)施的一次性工作。也不要低估了可能發(fā)生的地盤之爭。正如Crosby指出的那樣，虛擬安全設(shè)備暴露了棘手的控制問題，特別是由于虛擬機(jī)管理平臺現(xiàn)在處理虛擬交換機(jī)(vSwitch)和邏輯卷，因而迅速牽涉各個工種的數(shù)據(jù)中心人員，包括安全人員、網(wǎng)絡(luò)人員和存儲配置人員。接過這些新角色的服務(wù)器管理員可能沒有作好充分的準(zhǔn)備來處理這些復(fù)雜工作。

別指望可以丟棄安全層。虛擬機(jī)安全是補(bǔ)充而不是取代深層防御戰(zhàn)略的其他部分，比如邊界硬件防火墻、入侵預(yù)防硬件設(shè)備和內(nèi)容過濾器。

要把虛擬化納入到你的整個安全報告框架中。連虛擬交換機(jī)和虛擬網(wǎng)卡等虛擬化網(wǎng)絡(luò)設(shè)備也需要加以監(jiān)控和審計，但是你又不想要另一套SEIM(安全事件管理)、網(wǎng)絡(luò)或入侵監(jiān)控和管理平臺。這意味著，虛擬化安全產(chǎn)品必須集成到現(xiàn)有的網(wǎng)絡(luò)管理和報告基礎(chǔ)設(shè)施中，而不是作為特殊情況來對待。沒有孤島。

最后，與你的廠商加強(qiáng)交流。在過去的幾年間，幾家廠商已宣布、甚至演示了旨在為虛擬機(jī)提供網(wǎng)絡(luò)安全的產(chǎn)品，但是結(jié)果重新調(diào)整了戰(zhàn)略，或者是由于面臨像思科、瞻博和VMware這些大公司的競爭，或者是由于認(rèn)識到了這項任務(wù)的技術(shù)復(fù)雜性。“隨著時間的推移，由于VMware不斷添加功能，像Catbird和Reflex等其他廠商已經(jīng)由自己單干變?yōu)橄騐Mware看齊，”他是指提供監(jiān)控、策略合規(guī)和審計的一體化虛擬機(jī)管理平臺，而不是提供第2層或第3層虛擬網(wǎng)絡(luò)安全。

我們的觀點(diǎn)就是，我們可能會看到VMware及其他重要IT廠商(包括冠群、惠普、IBM和微軟)會為各自綜合的基礎(chǔ)設(shè)施管理套件添加虛擬機(jī)管理功能，從而進(jìn)軍這個小眾領(lǐng)域。