如何保证企业虚拟化数据中心安全

根据市场研究公司Gartner的数据，从现在到2009年，60%的虚拟机不如物理服务器安全。这些安全挑战包括:
IT地址依赖性:在虚拟化环境中，IP地址经常随着虚拟机的创建而改变，并且从一个物理主机移除或转移到另一个物理主机，这导致了传统保护机制中的问题。
虚拟机传播:虚拟机很容易从预先存在的映像创建，经常会出现大量维护不当或基于已知安全漏洞的虚拟机。成功攻击存在安全漏洞的虚拟机，可以让那些虚拟机充当攻击其他虚拟机的攻击平台。
无法监控内部主机通信:服务器虚拟化引入了“软交换机”的概念，允许虚拟机在单个主机中相互通信。监控和保护这些通信需要选择性有限的特殊工具。
孤岛式安全策略:不幸的是，许多安全供应商采用孤岛式安全策略，为每个虚拟机建议不同的解决方案。Gartner的分析师尼尔·麦克唐纳(Neil MacDonald)在最近的一次采访中表示，管理不善或一个简单的旧错误会导致虚拟领域的许多安全问题。事实是，我们在物理领域使用的工具和在虚拟领域使用的工具是不同的。
考虑到必须解决这些挑战才能实现服务器虚拟化的好处，因此需要一种新的方法，一种能够解决虚拟环境和物理环境安全问题的跨平台解决方案。跨平台虚拟安全工具可以帮助组织在整个数据中心实施动态安全策略，因此不再需要权衡虚拟化的优势和维护强大的安全性。
跨平台的虚拟安全工具管理控制台应该能够部署在网络的任何地方，它有权在有限的范围内实现灵活性。通常，管理控制台将详细的记录数据写入系统记录和Windows事件记录，从而减少了将这些工具与现有管理控制台集成的工作。
为了消除安全策略对IP地址的依赖，跨平台虚拟安全应该确保该策略得到实施，而不管该计算机的平台或位置如何。安全管理员可以消除与规则更改相关的运营开支。事实上，实施和坚持策略的各种情况包括:
当物理服务器和端点移动到网络的不同部分时。
…物理服务器和端点转变为虚拟机。
虚拟机
，正在使用或停用
，从一个物理主机转移到另一个物理主机。
跨平台虚拟安全将物理机和虚拟机放在一个逻辑安全区域中，并通过确保恶意虚拟机不是该逻辑区域的成员并且不能与不相关的安全区域通信来防止虚拟机扩散。事实上，他们看不见对方。通过严格控制对各个区域的访问，被攻破的虚拟机的攻击平台区域会明显减少。跨平台方法通常基于分布式P2P架构，允许它升级到数千个实例。只需几次点击，您就可以完成策略管理并更新部分或全部端点策略。
其他好处包括:
...消除孤岛式数据中心安全方法带来的管理复杂性，并通过单一控制台保护主机。
无需重新配置即可满足法规遵从性的要求。
消除与防火墙和虚拟局域网相关的运营成本。
使用分布式体系结构来消除瓶颈和单点故障。
在评估跨平台虚拟安全解决方案时，请考虑以下要求:
跨平台支持(虚拟和物理):理想的解决方案将支持虚拟化环境中常见的x86操作系统以及其他常见和罕见的架构，如Solaris、AIX、惠普-UX、RedHat、Windows和基于IP的非服务器设备。
独立于IP地址:理想的解决方案应该是强制执行安全策略，不管这台计算机的IP地址是什么，保证在移植或物理移动时策略的一致性。
隔离同一台主机上的虚拟机:为了保护虚拟机免受安全漏洞导致的虚拟机扩散，理想的解决方案是将同一台物理主机上的虚拟机相互隔离。
方便的升级:为了支持没有瓶颈的增长，寻找可以在分布式体系结构中运行的解决方案。
选择性加密:根据策略寻找能够提供选择性加密的解决方案，不要采用“全加密或不加密”的解决方案来达到性能与保护的比例。
集中管理:为了利用管理的效率，我们可以寻求一种提供单点安全管理的解决方案。
基于主机的实施:为了实现安全策略的精细性和可移动性，我们应该寻求一种在主机上实施策略的解决方案。
对基础设施和应用程序透明:为了减少部署时间和兼容性问题，理想的解决方案是对网络和应用程序的操作透明。
强大的活动和审计注册:理想的解决方案应该注册详细的活动数据，并创建服务器、端点和管理控制台的审计跟踪记录。
基于认证的身份识别:求解决方案使用X.509第三版证书，保证操作员证书不被伪造。
服务器虚拟化的运营和经济优势毋庸置疑。跨平台虚拟安全消除了服务器虚拟化和强安全之间的权衡，并应用扩展到物理和虚拟数据中心的逻辑安全模型，以保持虚拟机迁移的一致性。简而言之，跨平台虚拟安全可以使组织全面过渡到服务器虚拟化，同时简化其实施安全策略的方法。