李宇宏

（吉林省地方稅務局，吉林 長春 130022）

1 虛擬化技術的優(yōu)勢

1.1 提高硬件資源的利用效率。在我國網絡環(huán)境越來越膨脹的背景下，服務器的耗電成本、散熱成本以及空間成本也越來越高，這都會影響計算機硬件資源的利用效率。因此，虛擬化廠家也將目標放在了“單個物理服務器可以運行多個操作系統(tǒng)環(huán)境”上。這樣網頁服務器和數據庫等系統(tǒng)服務都可以在單個的操作系統(tǒng)上運行，而在同一個物理服務器上，多個操作系統(tǒng)也是可以同時運行的，從而有效的解決了計算機硬件資源利用效率低的問題，同時也保持了服務間隔。

1.2 降低運營成本。在傳統(tǒng)的物理系統(tǒng)中，當機房需要擴建或是硬件需要更新時，企業(yè)要想采購新設備就會產生一筆較大的花銷。而如果應用了虛擬化環(huán)境，IT設備的采購費用就會大幅度的降低。首先，由于虛擬化環(huán)境所能實現(xiàn)的資源共享功能，這樣在虛擬化環(huán)境中就能將各種硬件設備整合到一起，有效的降低了機房的運營維護成本；其次，在越來越多的低成本硬件上VMware都已經得到了認可，并且隨著技術的發(fā)展，此套件也能夠與企業(yè)的工作負載條件良好的適應了，所以其將會產生更大的成本節(jié)約空間。

1.3 管理上的優(yōu)勢。企業(yè)如果應用了虛擬化的環(huán)境，那么就能夠將IT管理人員整合起來，一名管理人員管理上千臺服務也是有可能的，機器的運行效果得到了提升，同時也提高了企業(yè)員工的工作效率。而要想充分的發(fā)揮出虛擬化技術在管理上的優(yōu)勢，其前提條件就是必須建立完善的組織架構。

2 企業(yè)虛擬化環(huán)境中的安全問題

2.1 隔離。要想安全的整合服務器，從而實現(xiàn)多個虛擬機在一臺物理服務器上有效運行，虛擬化使用邏輯隔離來體現(xiàn)物理獨立的感覺。這樣我們就無法判斷主機是否是出于隔離的狀態(tài)，要想確認其是出于隔離的狀態(tài)的，就必須借助虛擬機管理程序和其他以軟件為基礎的組件。而怎樣才能正確的包含信息呢？管理人員就應時刻關注可能會對網絡隔離和虛擬機產生影響的配置設備，并且在整個基礎架構中，還應實時的監(jiān)控會導致敏感數據泄漏的變更。

2.2 虛擬機的移動性。在虛擬化的語言中，所謂的移動性就是指虛擬機會自動的將其本身和資源重新定位到另一個位置。而在實現(xiàn)此功能的過程中，也會產生一定的問題。如果是在傳統(tǒng)的數據中心中，物理服務器就可以被準確的放置在某一個插槽上，而如果是混合數據中心，虛擬機就無法簡單的定位。當配置了可移動性后，虛擬機就可以輕松的定位到另外一臺物理服務器上，這種移動性充分的保證了數據中心的靈活性，大幅度的節(jié)約了開支和時間，但同時也容易產生類似于筆記本電腦和大型動態(tài)主機配置協(xié)議環(huán)境的安全問題。

2.3 虛擬網絡的安全性。應用了虛擬化技術后，在數據中心內，服務器和網絡就不再是兩個獨立區(qū)分的層了，一些復雜的網絡環(huán)境在服務器本身的界限是虛擬化的，它們能夠實現(xiàn)服務器中的虛擬機通信，并且也能夠享受到所有傳統(tǒng)的網絡裝置所使用的相同特性。在虛擬化的數據中心中，一個物理端口就可能表示上百臺虛擬服務器，這就會加大我們保證數據中心網絡安全性的難度。在同一臺物理服務器中，不同虛擬機的網絡流量是不會離開主機的，同時傳統(tǒng)的網絡安全裝置也不會檢測到它。而要想有效的保護這些盲點，就應在虛擬基礎架構中添加附加保護層。

2.4 操作職責的分離。職責分離和最小特權的策略可以用于限制企業(yè)IT管理員執(zhí)行日常任務和管理資源的權限。服務器管理人員是管理服務器的直接責任人，而網絡管理人員則是管理網絡的直接責任人，而安全管理工作則是由安全團隊負責，這些部門之間是有著分界線的，而隨著虛擬化技術的出現(xiàn)則改變了這一現(xiàn)象，通過一個虛擬管理控制臺就可以同時管理網絡和服務器中的人物，但是卻也同時出現(xiàn)了新的運營問題。組織應能夠準確的訪問管理的身份和策略，組織不應分配給無關人員過多的權限，而是應由安全專業(yè)人士和服務器的管理人員來負責對虛擬環(huán)境的管理和維護工作，從而保證企業(yè)虛擬化環(huán)境的穩(wěn)定和安全。

3 企業(yè)虛擬化環(huán)境中的安全防護解決方案

3.1 趨勢科技的Deep Security。這類API端口在虛擬化平臺中成功的引入了自身的防毒處理技術，在終端不需要安裝代理，殺毒的效率也得到了極大提升，其主要是由Deep Security代理、Deep Security管理器和安全中心三個部分組成的。其工作原理為：Deep Security代理首先會接收到管理器中的安全配置，其主要包括對服務器強制執(zhí)行的防火墻、日志審計規(guī)則以及深度數據包檢查，之后會逐個服務器上安裝的所有軟件，從而確定哪些規(guī)則是適用的，創(chuàng)建包含所有規(guī)則監(jiān)控活動的事件并將其發(fā)回給Deep Security管理器。之后管理器會對安全中心發(fā)出咨詢，從而及時的進行安全更新。Deep Security代理、Deep Security管理器以及安全中心三者之間的通信都是相互驗證的SSL所保護。此外，安全中心還能實時監(jiān)控漏洞信息的公共和私有源，從而保護正在使用的應用程序和操作系統(tǒng)。

3.2 vShield。對于那些既想保證控制力、遵從性和安全性，又想充分的利用云計算優(yōu)勢的企業(yè)來說，那么建議企業(yè)應用VMware vShield這一安全解決方案。其可以有效的防范網絡病毒的入侵，充分的提高端點上的防病毒和惡意軟件的防護性能，保證敏感數據的控制力和可見性，從而最大限度的保證企業(yè)數據和應用程序的安全。

結語

通過以上的論述，我們對虛擬化技術的優(yōu)勢、企業(yè)虛擬化環(huán)境中的安全問題以及企業(yè)虛擬化環(huán)境中的安全防護解決方案三個方面的內容進行了詳細的分析和探討。作為我國IT行業(yè)中新興產品，虛擬化技術有著其獨特的優(yōu)勢，其在管理上、成本上以及硬件的利用效率上都有著明顯的優(yōu)勢，同時企業(yè)虛擬化環(huán)境的安全防護工作也迎來了新的挑戰(zhàn)，因此，我們應針對企業(yè)虛擬化環(huán)境中的各類安全隱患，充分的了解主流的虛擬化安全防護產品，從而為企業(yè)虛擬化環(huán)境的安全防護工作提供支持和保證，保證我國企業(yè)的健康發(fā)展。

[1]盧建平.虛擬化系統(tǒng)中的攻擊與防護模型演技[J].武漢大學學報，2013.

[2]徐曉貝.企業(yè)私有云虛擬網絡的安全監(jiān)控研究[J].中國科技信息，2013.