【TechTarget中国原创】长期以来，企业往往在部署新技术之后，才开始对安全方面进行思考。虚拟化提供了如此之多具有吸引力的优点，所以，很容易被应用到IT架构中。但是，使用虚拟化技术需要注意哪些安全问题呢？在本文中，TechTarget的虚拟化专家Anil Desai将针对使用虚拟化技术时存在哪些与安全相关的利弊进行探讨。目的是让你大致了解你应该知道的不同类型的安全问题。

　　虚拟化技术的安全好处

　　与在物理服务器上运行相比，在VM（虚拟机）上运行工作具有众多潜在的好处。这里是对这些益处的总结，并且附有一些简要的解释：

　　由于虚拟机是在独立和隔离的环境中创建的，所以系统管理员能够很容易用各种方法进行配置。比如，如果某个特定的虚拟机不需要连接到互联网或是其它生产网络，那么配置该虚拟机时，就会对它与其他环境的连通性加以限制。这样，某一被感染的单独系统影响大量用于生产的计算机或是虚拟机的风险就能够降低。

　　如果发生安全冲突（例如安装恶意软件），虚拟机可以恢复至某个特定的时间点。虽然对文件和应用服务器进行疑难诊断时，这个方法可能不一定奏效，但是，对于包含相对静态信息的虚拟机（例如网络服务器负载）来说，这个方法非常有用。

　　理论上讲，虚拟化产品是在虚拟机和底层的物理硬件之间增加了一个抽象层。这样能够有助于限制可能发生的破坏量，例如，恶意软件试图修改数据。即使整个虚拟硬盘都被毁坏，但位于主机上的物理硬盘也不会受到影响。这一点对于其它组成部分也适用，例如网络适配器。

　　虚拟化通常被用来执行备份和灾难恢复。由于虚拟化解决办法与硬件独立开来，复制或移动工作负载的过程能够被简化。一旦发现安全漏洞，位于一个主系统的虚拟机会被关闭，同时，安装在另一个系统的另一个“备用”虚拟机启动。这样，在快速恢复对系统的访问同时，可以为查找和解决问题提供足够的时间。

　　最后，通过虚拟化，跨多种操作系统分配工作负载变得更为简单。由于受到成本、能量和物理空间的限制，开发者和系统管理员可能会倾向于在同一台电脑上安装一个包含许多组件的复杂应用。通过将不同的功能（如中间件，数据库以及前端Web服务器）分布到不同的虚拟环境中，IT部门可以为每个组件进行最好的安全配置。例如，数据库服务器的防火墙设置可能可以允许与中间层服务器进行直接交流以及与内部的备份网络建立连接。另一方面，通过标准的HTTP端口，Web服务器组件可能能够获得所需的访问。

　　虚拟化安全的优势远远不止于此，不过，这算是对潜在的虚拟机安全提供了一个简明的介绍。

　　虚拟化的潜在安全风险

　　和很多技术解决方案一样，使用虚拟机在安全方面存在潜在的风险。有些风险是系统架构本身所固有的，而有些风险则可以通过改善系统管理得以减轻。采用虚拟机技术普遍存在一个共同关心的问题，就是如何在一个单独物理计算机上安装各种不同的工作负载。硬件故障及相关问题可能潜在地影响许多不同的应用和使用者。在安全领域，恶意软件很有可能给系统资源造成相当大的负荷。这些问题很有可能影响到安装在同一台计算机上的其它虚拟工作负载，而不仅仅影响一个单独的虚拟机。

　　虚拟化的另一个主要问题是，在虚拟环境中倾向部署许多不同配置的系统。在物理服务器部署中，IT部门通常会在部署之前执行一套严格的审查流程。他们保证只有得到支持的配置才能安装在生产环境中，并且保证系统符合企业的安全标准。在虚拟机环境下，许多没有支持的操作系统和应用可以由环境中的任何一个用户进行部署。对于IT部门来说，通常很难知道他们正在管理什么，更别说如何管理一个复杂的异构环境。

　　当不同的工作负载在系统上运行的时候，主机的安全变得更为重要。如果一个未经授权的使用者获取了主操作系统的访问权限，他/她便有可能将整个虚拟机复制到另一个系统。如果这些虚拟机里包含敏感的数据，那么这些数据被破坏也只是时间长短的问题了。同时，恶意的使用者可以通过改变网络地址，关闭关键的虚拟机以及进行主机层的重新配置，造成很严重的服务中断。

　　如果考虑每一个子操作系统的安全性，就必须记住，虚拟机也很容易受到攻击的。如果某个虚拟机能够访问生产网络，那么它通常会具有和物理服务器相同的许可权。不幸的是，它们并不具备限制物理访问的优势，例如通常用于数据中心环境的控制。每一台新的虚拟机都有潜在的安全问题，因此IT部门必须确保遵守安全策略，并且保持系统及时更新。

　　总结

　　以上分析很可能会给虚拟化安全图景蒙上一层阴影。解决安全处问题第一步是理解某一具体技术存在的潜在安全问题。下一步是寻求解决方案。不过不要担心，总有可以找到降低安全风险的方法。