雲計算有風險 虛擬機安全需謹慎保護

　　為一個虛擬基礎設施選擇保護措施就如同為Mac OS購買一個反病毒軟件產品一樣：大多數人都會奇怪，為什麼你會感到煩惱。但是，隨著越來越多IT企業把他們的服務器遷移至虛擬機和基於雲計算的環境中，保護這些資源的問題也逐漸浮出水面並且變得越來越重要。

　　但不只是為雲計算的虛擬機（VM）簡單地安裝一個防火牆或防病毒軟件那麼簡單。物理服務器的設計宗旨並不是在運行10個虛擬服務器的管理程序上檢查和過濾大流量的數據。因為虛擬機能夠通過點擊按鈕完成啟動、通知和在不同管理程序之間進行遷移等操作，無論你選擇什麼樣的防護措施都必須能夠輕松地處理這些操作。此外，隨著數據中心中虛擬機數量的不斷增加，它們也越來越難以解釋、管理和保護。如果未經授權的人獲得了訪問管理程序的權限，他們就能夠利用缺乏控制的漏洞，修改其中所有的虛擬機。

　　隨著企業服務器和數據中心基礎設施的虛擬化程度日益深入，他們需要與之相匹配的專業保護技術措施。雖然保護等級仍然與適用於物理服務器保護產品的深度與廣度緊密相關，幸運的是，仍然有無數的行業廠商勇於迎接這個挑戰。

　　保護功能類型

　　目前虛擬世界中還沒有單獨統一的威脅管理工具；任何致力於虛擬機產品開發的廠商的初衷並不僅僅在於一個保護性產品。這些產品大致可以有以下四種不同的功能分類：

　　法規和審計。這個功能包括對不同法規要求生成報告的能力，例如支付卡倡議標准，以及審計訪問和管理日志的能力。

　　入侵檢測（IDS）和防火牆功能。這些功能是大多數人在考慮虛擬機安全性問題首先想到的功能。

　　訪問控制。這個功能包括能夠限制用戶在任何受保護的主機上中止虛擬機運行和改變虛擬機運行狀態。一些產品有能力把訪問控制角色和Active Directory用戶相結合，更輕松簡便地進行策略部署。

　　防病毒/反惡意軟件保護。與物理世界中的反病毒工具類似，這些產品也為虛擬機中的應用提供保護。


　　圖1:Reflex Systems的虛擬管理中心有一個非常好的示意圖，可向你顯示你的虛擬機是如何分布的。當你的鼠標停在每個圖標上方時，在屏幕的右上角會顯示相關的狀態信息。

　　可用的虛擬機保護選項

　　在過去的一年之中，業界內公司的兼並與收購步伐逐漸加快，而主要的虛擬化和安全廠商都試圖擴大他們的產品與集成產品。VMware公司收購了Blue Lane Technologies公司，並將其軟件納入自己的產品vShield之中； Juniper網絡公司收購了Altor Networks公司，Third Brigade公司目前也已成為了Trend Micro公司Deep Security產品線的一部分。當然，還有一些其他更小的同類公司。

　　這裡有一個典型虛擬機保護產品的列表：

　　- Beyond Trust Power Broker的虛擬化服務器

　　- Catbird vSecurity

　　- CA 虛擬權限管理器

　　- Centrify 直接授權

　　- Fortinet FortiWeb 虛擬機

　　- HyTrust Appliance

　　- Juniper/Altor 虛擬防火牆

　　- 精細雲計算

　　- Reflex 系統虛擬化管理中心

　　- Splunk 虛擬化

　　- Third Brigade/Trend Micro Deep Security

　　- VMware/Blue Lane vShield產品系列

　　所有這些產品都是在保護您的虛擬基礎設施的不同部分，因此它們之間並沒有直接的可比性。從上述不同的並購案中，你可以發現，虛擬機保護市場是非常動態的，其中孕育著大量的變數。


　　圖2:Trend Micro公司的Deep Security有一個具有警報摘要和事件歷史的主動性防入侵板。

　　當你終於准備為一個虛擬機為主題的保護進行采購時，請一定要做一下梳理並與你的供應商達成如下的共識：

　　1.需要保護什麼樣特定版本的管理程序？所有這些產品與特定的VMware主機一起配合運行，而有一些只與更新的版本（v4或以上版本）兼容。有的還與Xen主機配套（推而廣之，即內置於Xen、Amazon公司的網絡服務）目前還沒有與微軟公司的Hyper-V技術相配合的產品。

　　2.你是否需要代理，如果需要，他們安裝在哪裡？有些產品在管理程序本身安裝代理，因此無需在每個虛擬機中安裝額外的軟件。其他的產品與VMware接口直接交互，而仍有一些其他的產品需要VMware的vMA或vShield附件。由於虛擬機可以經常性地暫停和重啟，這裡的目的在於提供即時的保護，以避免傳統物理防病毒產品的開機檢查。

　　3.我能否通過電子郵件管理人員報告？ 他們是否會根據那些報告進行決策實施措施？有些產品如果打印出來，可形成如電話薄般的報告。這一詳細程度的報告往往讓人無所適從，且實用性較低。其他的產品則做得更好，即使是你的經理也能輕松理解。

　　4.其策略控制的詳細程度如何？產品是否易於對現有策略進行補充或完全創建一個新的策略？這是這些產品的基本功能要求，請確保你對此信息熟悉，因為這將最終決定你為此花費的絕大部分時間。

　　5.最後，其價格如何？每個產品都有著一個復雜的定價方案：有些根據虛擬機、機位、受保護的主機或設備進行收費。