虚拟化以很高的效率改变了我们管理IT的方式。但虚拟化不只带来了众多优势，同样存在独一无二的安全风险。简单说，和物理服务器相比，保护虚拟资产存在更多的困难，需要专门的工具以及培训才能管好。

整合使得虚拟资产成为了特别吸引黑客和网络安全攻击的目标。与物理服务器相比，虚拟化同样面临着更大的故障、服务中断的风险。然而，采用适当的技术、工具以及方法，可以避免虚拟环境受到故障、恶意活动的影响。

本文介绍常见的虚拟化风险以及如何处理虚拟安全管理问题。

注意数据盗窃危险

服务器虚拟化主要的优势之一是与物理服务器相比，虚拟环境的攻击平面更小。也就是说虚拟化最大的问题之一是不需要授权同意就可以快速构建并部署虚拟实例。尽管单台恶意服务器不太可能搞坏整个基础设施，但可能会给基础设施的稳定性带来严重的风险。避免这类风险的最佳方式是准确地了解环境现状，但往往是知易行难。

虚拟环境更容易受数据盗窃的影响因为窃贼很容易就能够在运行系统上克隆数据并不会影响原服务器。同样存在数据被破坏的问题。由于虚拟机是文件集合，在拷贝数据时同样很容易被检测到。正因为如此，为数据中心评估、选择虚拟安全管理系统时一定要将可用性与冗余性牢记于心。

不要忽略常见的安全问题

管理员往往仅依靠备份、防火墙、密码以及安全工具保护数据中心，但这种方式解决不了所有问题。上述措施聚焦于虚拟终端却忽略了虚拟软件与硬件之间复杂的关系。系统中断与故障难以避免而且时常会发生。因此，主要的目标应该不是完全避免故障，而是缓解由于系统中断带来的破坏。

起点是进一步了解底层的硬件。如果硬件冗余设计很困难，在多个技术领域之间没有冗余，那么数据中心就变得很脆弱了。考虑为服务器配置双电源以减少硬件出故障的风险并增加可用性。

即使是全冗余的基础设施也有可能出故障，因此你还应该确保有充足的故障切换配置——不只是活动目录与NTP服务器，还有入侵检测系统，动态更新的防火墙与准确的技术文档。六个九的可用性可能很难达到，对某些组织来说不可能实现，但对软硬件进行调整能够大大降低系统中断的影响。

关注内部事件

谈到虚拟安全管理，有时最大的风险来自内部。员工尤其是虚拟化管理员在工作中出错很可能就会使虚拟环境容易遭受网络攻击。这是个复杂的问题—这个问题可以追溯到虚拟化初期。

组织过去基于运维职责，如网络、存储或者远距通信将数据中心员工划分成多个小组。随着时间的推移，组织整合了这些分散的小组，创建了全新的角色，包括虚拟化管理员。现在，越来越多的技术纳入到了虚拟化管理员的涉猎范畴，这可能是个问题。如果虚拟化管理员出错造成的影响要比之前低级别员工大得多。

组织有很多方法避免这些潜在的问题，先从进一步打破壁垒开始。通过允许其他专业管理员完成之前通常由虚拟化管理员完成的任务，你可以更加彻底地保护基础设施。下一件事是部署合规性软件，允许你创建定制策略以避免虚拟环境使用不当。最后可能也是最重要的是一切形成文档。确保虚拟化管理员从第一天开始详细记录如何运维整个环境，这样如果他离开公司，继任者不会一头雾水。

网络攻击防护

在虚拟化领域，针对网络攻击并没有放之四海而皆准的答案。创建真正有效的网络安全策略的关键是采取多种方式保护虚拟机与虚拟化堆栈。首先从防护虚拟主机开始。这样做的一种方式是限制物理访问主机服务器与存储，这样可以避免非授权用户危害主机上的虚拟机。作为一个附加措施，你可以在活动目录森林中放置主机服务器与虚拟管理服务器。这减少了哈希传递攻击—设计用于窃取哈希用户证书并欺骗认证系统的网络攻击。

改进虚拟机安全性同样有很多种方式。例如，可以对虚拟机进行分组。这样一来高安全性虚拟机就不会错误地与低安全性虚拟机部署在同一台主机上了。你还可以借助网络虚拟化保护虚拟机，使用前端与后端拓扑以及流量隔离以确保特定的虚拟机从不会保留在网络流量中。最后，一定要检查hypervisor的安全性建议以查看你应该采取哪些额外的措施保护虚拟机。

虚拟机管理软件存在差异

你可以将世界上所有的安全软件安装在数据中心中，但如果软件没有实时更新，那么虚拟基础设施仍旧存在风险。老掉牙的工具无法查看虚拟机、网络及相关配置，这样就会将基础设施置于相当显著的安全盲点。与大型组织相比，小型组织受这类影响的可能性更大，因为小型组织往往采用新虚拟化安全管理工具的动作往往更慢。

如果无法升级或者替代现有的虚拟化安全管理系统，你还需要采取一些步骤以确保基础设施的安全性，比如确保防恶意软件、主机防火墙以及其他现有的工具能够感知虚拟化。然而，如果你正在市场上寻求全新的管理软件，要确保选择能够提供资产跟踪、目录控制以及变更管理的管理系统。为了实现安全的最大化，你还应该对虚拟机迁移工具进行评估以确保将所有的配置详细信息转移到目标服务器，这样在迁移过程中虚拟机就不会暴露在外部网络中。