关于服务器虚拟化是否能够降低维护成本，引发了许多议论。它减少了服务器蔓延、降低了购买的软硬件数量、节约耗能以及减少了维护工作。但是，这些都不是用户和厂商对虚拟化技术感兴趣的唯一原因。

　　无论你是否相信，虚拟化在安全性提升方面有很大的潜力。有了虚拟服务器，隔离不稳定或妥协的应用更容易。而且，虚拟服务器提供了更迅速的灾难恢复解决方案，强大的取证分析（forensic analysis）能力，以及更廉价的入侵检测工具。

　　下面，TechTarget中国的特约虚拟化专家Alessandro Perilli将探究所有这些虚拟化的应用，看看虚拟化变革在今后将如何影响安全性的提升。在第一部分中，我们会涵盖沙箱（sandbox）、灾难恢复、高可用性以及取证分析等方面的虚拟化应用。在第二部分中，将进一步探讨一种叫做蜜罐（honey potting）的技术，以及虚拟化的未来。

　　沙箱

　　虚拟化对安全性提升最简单的应用即是应用隔离。

　　在虚拟机中移动一个任务或一组应用对IT经理来说很管用，可以帮助他们控制两类问题：应用不稳定性和应用妥协（application compromising）。其中，应用不稳定性可能导致严重的资源浪费，最坏的情况可以导致整个系统崩溃。应用妥协则可能导致本地权限扩张和未经认证的系统占用。

　　VMware公司作为现代虚拟化技术的先锋，提出了避免以上两种问题的最佳解决方案。同时，作为“虚拟化设备（virtual appliance）”概念的首批推崇者之一，VMware公司还发布了浏览器设备。这个浏览器设备在虚拟机中的作用相当于操作系统，处理一些因特网相关的任务，如冲浪、邮件阅读、聊天、P2P网络资源下载等。所有这些动作都非常关键，万一有漏洞，攻击者将可以在VMware浏览器设备中与底层主机操作系统进行交互，访问重要的用户信息或访问公司网络。

　　有了虚拟化，恢复妥协系统（compromised system）也更加容易。用户即使没有相关技术，也可以轻松地重启虚拟机，返回到起始点，几秒钟就可以恢复一个崭新的系统。

　　这些年，许多安全分析师都对虚拟化表示怀疑：利用虚拟层真的可以安全隔离虚拟机与虚拟机、以及虚拟机与主机操作系统吗？他们的质疑是有道理的，因为虚拟机监控器（VMM）总是处理虚拟机的I/O请求，有问题的请求可能会导致缓冲区溢出，进一步导致VMM所在的主机操作系统妥协。不过到目前为止，还没有报告记录有成功攻击VMM的案例，所以时间会告诉我们，当黑客们利用这个漏洞时会有什么后果。

　　灾难恢复和高可用性

　　在任何公司环境下，IT部门最急迫需要的就是数据保护和服务可用性。

　　目前，我们要进行数据保护的办法就是在受保护服务器内的文件级进行备份。这个方法有两个大的缺点：数据恢复需要大量时间；公司需要最初的硬件（或是拷贝）才能恢复业务，以免并发其它问题。

　　虚拟化大大地减少了灾难恢复所需的时间和成本。主机级的备份解决方案不是保存文件，而是复制整台虚拟机，即使虚拟机正在运行也可复制。这种备份得到的是一个非常大的文件，在用它执行恢复时远远要比重新安装操作系统和恢复数据节省时间。

　　也许你觉得这听起来不错但革命性不够。请你注意，你可以在任何主机操作系统、任何满足供电需求的硬件上恢复保存的虚拟机。甚至，你不用太多停机时间就完成恢复物理出错。

　　如果停机时间完全超出承受能力，我们有两个选择：高可用性配置和热待机（hot standby）配置。在高可用性配置中，多个集群节点分担、平衡通信负荷。在热待机配置中，有一个或多个第二节点随时准备顶替出错的主要节点。这两个解决方案都依赖于两个或更多物理服务器的可用性。你必须为所有需要保护的服务增加很多服务器。不过虚拟化可以帮助提供一些服务器能力，并且价格较便宜。

　　每天都有越来越多的公司在部署混合式集群服务，即第二节点是虚拟的。这意味着它们在物理硬件中安装主要节点，而第二节点在虚拟机中，随时准备顶替出错节点。由于备用节点不消耗资源，所以单主机的物理机可以储存多个备用节点，在故障恢复时为虚拟节点动态提供足够的物理资源。

　　在热待机配置中经常会有一个问题，它与物理节点到虚拟的备用节点的数据复制有关。Vizioncore等有些公司正在填补这个空缺，为大多数常用虚拟化平台提供复制服务。

　　取证分析

　　虚拟化在安全性方面的另一个久负盛名的应用就是取证分析。

　　VMware的主管总喜欢提及某些往事，例如执法机构（如FBI）早期如何采用本公司的产品，询问他们如何拷贝犯罪的硬盘内容到虚拟机，以便异地分析其内容。

　　如今，这种方法被称作P2V迁移，很大程度地实行了自动化。它可以创建一台工作的物理计算机，包括隐藏或加密的分区，而且不会改变任何数据。

　　在大多数情况下，这个过程很简单，能在几分钟之内通过传输所有硬盘内容（根据其大小，所需时间有所不同）。这个方法有个缺点，就目前而言，我们仍然必须关闭原来的机器。对安全性技术人员来说，这就意味着会失去非永久性存储器（compromised environment）内容。

　　到目前为止，主要的P2V解决方案提供商有Leostream、PlateSpin和VMware等公司。有些新进入的商家提供一些免费的迁移工具，也在这个领域占得一席之地。传统的影像（imaging solution）解决方案，如Symantec LiveState也采用了这个方法，因为最新的虚拟化产品可以在空虚拟机中输入私有格式（proprietary format）。

　　P2V迁移并不是利用虚拟化做取证分析的唯一途径。简化虚拟机内测试的最好工具是快照，它也是取证分析的最佳工具。

　　所谓快照，其实就是虚拟化产品冻结操作系统镜像，以允许恢复妥协环境（compromised environment），尤其是测试版或不稳定的产品。执行快照时，不用管虚拟机关闭与否。如果虚拟机已关闭，虚拟硬盘的所有内容将被标记为恢复点；如果虚拟机正在运行，那么整个非永久性存储器将被保存到镜像文件。

　　考虑到不断进行的信息泄露（compromise），我们还面临着叫做“零日（zero-day）”工具的威胁。这些工具能够通过更新的恶意软件引擎开发新漏洞而不被发现。通过它们，黑客可以清除日志文件并删除他们使用过的工具，从而掩盖他们的踪迹。
　
　　为了减少重要信息的丢失，目前我们主要依赖于基于主机的入侵检测系统（HIDS）。它可以追踪文件、内存变更，并将它们通过网络发送到专用的日志记录设备（logging facility）。然而，这些工具不仅非常昂贵，而且很浪费受保护服务器的资源。此外，并不是每台我们想保护的服务器都有必要部署这些工具，而且入侵检测系统也可能被利用。

　　在这种情况下，虚拟化是一个既便宜又有效的替代方案。如果快照时间正好，可以把“零日”工具冻结在RAM或磁盘中，也可以冻结黑客攻击在系统日志文件中的踪迹，因为黑客还没来得及清除这些踪迹。即使是在数据中心的不同主机操作系统中，也可以在快照点重启虚拟机，这提供了前所未有的取证分析能力。

　　在本文的第二部分，请继续阅读关于蜜罐以及虚拟化在安全性领域的未来的内容。