2022年行业分析服务器虚拟化安全隐患五大策略

服务器虚拟化安全隐患五大策略服务器虚拟化正在推动着当前的数据中心改造。这种技术提高了可用性，削减IT成本和支持将来的业务增长。服务器虚拟化能够让机构更好地预备好应对更广泛的云计算机会和基于服务的计算机会。在降低成本的同时提高效率的需求正在推动虚拟化技术的快速应用。

在不确定的经济状况下，服务器虚拟化仍在连续增长。然而，虚拟化的快速应用能够引起颠覆性的特征(也就是说完全改造的基础设施和供应新的模式)，转变数据中心自然的秩序和引起平安问题。

企业爱护自己的虚拟服务器环境的平安是特别重要的，特殊是虚拟化不仅已经在服务器中更普遍的应用，而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。下面看一下机构担忧的虚拟服务平安的主要问题，以及如何更好地掌握这些问题，同时为虚拟化进一步向数据中心普及做好预备。

解除服务器虚拟化平安隐患之管理、责任和政策

管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同，物理服务器由在这个物理区域的管理员直接负责，虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候，会消失如下问题：谁负责、谁应当拥有访问权、谁应当配置和保证这个环境的平安?这个责任是应当由业务部门、服务器管理员还是一个集中的主管理员负责?

当设法解决这些问题时，遵循的一个简洁的规章是对待重要的虚拟服务器应当像对待物理服务器一样实行同样的掌握措施。例如，假如你没有把你的SAP服务器的根口令供应给主要管理员以外的其他人，对于你的虚拟SAP服务器也要制定同样的规章。

应用平安虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟平安的问题时，IT管理员需要制定正确的政策平安地爱护自己的系统。然而，这些政策必需足够敏捷以保证它们没有太多的限制。IT管理员需要询问使用当前的平安政策是否可以实现服务器虚拟化的全部好处。一个抱负的解决方案是通过保证虚拟化不绕过现有的平安掌握措施让用户保持对自己的基础设施的掌握。这需要高水平的集中批准和掌握。

解除服务器虚拟化平安隐患之遵守法规

随着一些虚拟服务器变成拥有极少掌握的看不见的网络，就会消失遵守法规的问题。对于没有特地负责监视每一台主机内部虚拟机的全部互动状况的数据中心管理员来说，这是很成问题的。随着虚拟化连续向主流应用进展，有很多遵守法规的强制规定将不行避开地影响到虚拟化的应用。例如，这些遵守法规的强制规定之一是PCI-DSS(支付卡行业数据平安标准)。

在零售行业，定义信用卡处理的规定(PCI-DSS要求2.2.1)要求企业每台服务器仅执行一项功能。这使人们对这个规定有很多解释。有些零售商或许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准模糊不清，单个的企业正在实行不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规，从而引起企业的风险。使用一个有阅历的综合者解决这个问题。PCI平安标准委员会最近恢复了一个特殊爱好组，以澄清审计人员和用户在虚拟化方面遇到的一些问题。这个爱好组将在2022年年底之前供应第一轮建议。

在处理服务器虚拟化的遵守法规的问题，企业需要理解自己的风险。建立一个平安的审计跟踪作为遵守内部和外部审计者规定的证明，实时报警和联合流程仍是虚拟环境优先考虑的事情。假如一家公司能够现实地处理自己的风险，它就很简单解决审计者担忧的问题并且保证能够修复任何问题。

随着他们允许机构保持老式的服务、操作系统和应用程序，同时连续推动数据中心优化的努力，虚拟机将更加流行。

因此，没有一个管理这些老式系统的撤销过程的明确的方案，就会存在风险并且会给企业带来新的重大平安风险。有一种推想认为，老式系统中使用的平安措施能够在虚拟化环境中供应同样的平安爱护。企业把老式的平安措施当作平安系统是担心全的，不会以同样的方式发挥作用，从而使企业简单遭到平安攻击。

解除服务器虚拟化平安隐患之保证虚拟化平安并监视虚拟化

把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的平安并且进行监视以便解决平安漏洞。与在裸机上运行的操作系统/应用程序不同，在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器，在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。

当然，这种敏捷性还会产生平安漏洞。随着虚拟机的不断的上线和下线，或者依据需要从一台服务器迁移到另一台服务器，平安掌握措施需要反映这些变化。此外，随着虚拟机从一台服务器迁移到另一台服务器，这些虚拟机或许会为传统的防火墙检测不到的危急和攻击放开大门。处理这种平安漏洞的一个抱负的方法是利用高级记录大事管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视详细的大事、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构具体地理解有权限的用户能够对单个虚拟机做什么。

由于虚拟机的设置和运行时间都比传统的物理服务器更短暂，这将引起额外的担忧。这产生了一些风险状况。在这种状况中，虚拟机不行能上线进行平安扫描、升级和使用补丁。当发生故障的时候，找到故障缘由也是很困难的，由于虚拟机不断地建立和撤销，快照和检查点常常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些平安问题是特别重要的。

由于数据中心的虚拟机数量比物理服务器的数量多，保证这些虚拟机避开遭到病毒攻击是比较简单的。由于虚拟机数量更多，病毒能够成倍地传播，攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种状况下供应关心，不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通，能够完全访问共同身份识别和加密等平安功能。

虚拟机镜像将保留在文件中。结果，由于这些文件很简单复制，这就增加了风险。有一些可用的选择可以管理这些特别问题。虚拟机镜像本身中的隐秘数据不应当轻松地访问。最起码的是企业应当加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外，加强管理来自网络的虚拟机镜像能够更严格进行掌握，保证最低限度地访问这些镜像和增加身份识别。

解除服务器虚拟化平安隐患之虚拟机扩散和移动

很多企业日益担忧虚拟机扩散问题。除了日益增加的管理简单性和日益提高的数据中心成本之外，人们还日益担忧缺少可用的掌握措施避开业务部门经理自己创新大量新的虚拟服务器。使这种担忧更加严峻的是这些新的服务器或许是在没有保证适当管理和平安的状况下创建的。

与虚拟机扩散和轻松地在物理服务器之间迁移虚拟机有关的一个重要问题是支持环境的可持续性。这个主要问题是不同的虚拟机工作量通常有不同的与存储、计算和网络有关的要求。掌握这个风险需要明确地关联虚拟机工作量和适当的要素分类，以及确保维持必要的平安态势。

当考察软件管理解决方案的时候，企业有必要评估他们支持基于政策的向这个环境动态安排虚拟机的力量。这种力量通常称作“沙箱”。沙箱是隔离运行的应用程序的一种平安机制。沙箱常常用来执行没有经过测试的代码或者没有经过验证的第三方、供应商或用户的应用程序。这种方法通过阻挡应用程序向沙箱外部写数据的方法来保证应用程序的平安，阻挡进入系统的病毒和其它恶意活动进行破坏。

保持全部相关活动的审计记录也是特别重要的。一个有关正在运行的状况的漫游快照能够让管理员回去进行验证、优化和监视用户活动，并且保持一个精确     的快照。通过运行在同一个沙箱中的与遵守法规有关的应用程序，与其它更一般的应用程序隔离开，企业能够削减数据泄漏的风险。这允许企业保持一个适当的平安态势并且依据传统的数据分类根据政策隔离虚拟机。

为了削减虚拟机扩散，企业应当利用一些时间培训管理员有关虚拟基础设施开发、管理和平安的学问。他们要求明确地理解虚拟化技术和虚拟化技术与传统的IT基础设施的区分。IT人员必需有正确的工具进行有效的管理。但是，IT人员还需要进行培训以正确地管理这个新的基础设施。

解除服务器虚拟化平安隐患之平安改进

机构能够连续改善他们的平安态势。下面是一些额外的建议：

·削减服务器关机时间。虚拟机能够在完全运行的时候进行备份，因此要确认你的系统在连续运行以保证明时备份。假如一个系统发生故障并且管理员执行了实时备份或定时快照，系统会很快恢复。假如恢复是必要的，那么，退回重来就像提取最新的快照一样简洁。

·改善IT效率。企业利用一个批准的黄金镜像能够实现增加的平安性和管理性。这个黄金镜像为一个桌面供应各种存储在防火墙后面的用户资料。这样做企业能够显著改善生产率，关心改善IT运营。这种做法就是保证每一个使用的虚拟机都是依据经过批准的黄金镜像制作的，无论这些虚拟机用于开发、测试或者生产都是如此。

·提高敏捷性。为了向一切都是服务的模式的过渡，企业能够定义和应用合适的数据分类和分别。这还能够使企业更轻松和更自信地恰当地选择专有的和公共的云计算解决方案。这是由于虚拟化能够参考SOA让实施更便