恰当的安全控制是虚拟化成功的关键

　　许多公司没有认识到大规模虚拟化努力的成功取决于要求在虚拟机上运行的哪一种服务能够外部化的水平。随着更多的服务包含在一个虚拟机中，那个机器需要的管理和维护工作量显著增加。虽然小规模的部署也许能够控制这种负担，但是，大规模部署经常遇到这种压力并且失败。

　　在一个物理服务器环境中，一种安全方法为围绕芯片组、固件、操作系统、网络、应用程序设置和可用的外部服务制定的。一般来说，虚拟化项目是为一个特定的应用程序或者部门需求设计的，很少涉及整个企业网络上提供的更广泛的服务。随着设计和部署了越来越多的应用程序，机构认识到使用向物理对象提供的服务能够实现这个规模。因此，虚拟化设计和部署标准就开始发挥作用了。这些简单的虚拟机嵌入在自己的操作系统、文件系统、访问控制、证书管理、网络接口、数据库、应用服务器、Web服务器和更多的设备中，在现有的硬件平台上运行。

　　分析师预测，随着企业争先恐后地争取得到虚拟系统和应用程序的好处，60%以上的部署的虚拟机将没有物理机器那样安全。随着虚拟化成为所有的应用程序部署参照的标准，企业必须能够合理化和正常化虚拟环境使用的服务。

　　在通过服务器整合可能增加削减成本的好处的推出下，虚拟化运动已经提供了多种好处并且证明了在过去的几年里的部署。因此，没有适当的安全规划，虚拟化可能付出过分强调节省成本好处的代价。通过事先解决这些安全的担心，企业能够节省巨大的管理开销和弥补一些潜在的安全漏洞。

　　身份识别和接入控制

　　身份识别和接入控制是任何安全设计的基本组成部分。知道谁或者什么正在连接到你的系统以及他们有什么许可对于保护系统安全及其数据是非常重要的。采用虚拟化，需要做出一些决定以保证建立适当的控制措施：

　　·物理主机上的接入控制系统如何影响虚拟主机上的接入控制系统?

　　·如果这个虚拟机是可移植的并且能够在许多物理主机上运行，如何让这些接入控制措施也能够移植?

　　·一个虚拟机快照能够复制到任何物理机器上并且执行吗?

　　·如果一个虚拟机在多个物理机器上复制，它的账户和口令也能够复制吗?会出现不能同步或者账户锁死的情况吗?

　　·应该允许一个应用程序从任何物理主机访问另一个应用程序或者数据库吗?

　　作为全面的威胁和风险评估的一部分，可以并且应该提出类似的其它问题。最终，要尽可能地得到许多问题的答案，从而建立一个更安全的系统和消除潜在的部署障碍。

　　通过使用基于LDAP/主动目录的身份管理系统、实施一个SSO系统或者使用双因素令牌等手段实现用户身份识别外部化将取消管理存储在每一个虚拟机上的单独的身份识别的需求。虽然这对于最终用户团体来说是起作用的并且是一种推荐的方法，但是，这个方法不能完全解决管理员和应用程序接入的挑战。许多(并非全部)应用程序包括对可插入的身份识别的支持;也就是说，他们能够通过安装适当的软件模块与外部身份识别存储器进行沟通。对于不支持外部身份识别并且使用基本的身份和口令的应用程序来说，这个机构要坚持维护那个具体的应用程序的用户存储器。更糟糕的是，需要与那个应用程序及其数据交流的任何计划也许都需要用户身份和口令的硬编码。在现在和遵守法规和审计要求的年代，这种做法将很快成为一种被禁止的做法。

　　任何接入系统的基本的身份识别都是通过使用合法的身份和口令实现的。所有的操作系统和应用程序都包括支持基本的身份识别。即使在已经为用户实现了可插入的身份识别的时候，管理员和程序仍然使用共享的身份和口令。反对使用口令的常见的观点是，口令在防御专门的攻击方面很差，因为口令很短、结构软弱以及不经常改变。这使人们认为长的、强大的、定义维护的身份和口令将会给系统提供充分的身份识别控制。口令还消除了应用双因素令牌或者生物统计身份识别方法的成本和复杂性。在物理的、虚拟的和应用程序环境中维护管理员和程序的身份和口令或者有权限的账户是机构面临的一个更大的挑战。

　　有权限的账户可以分为两种类型：

　　1.人类管理员使用的管理员账户，用于访问设备、操作系统和应用程序以便对这些系统进行维护。

　　2.程序使用的嵌入式账户，用于按照要求连接设备、操作系统和其它程序以便执行任务。

　　采用虚拟化，有物理主机系统的管理员账户。这些账户也许是共享的或者个人的账户，以及为这些物理主机上的每一个虚拟机提供的管理员账户。采取遵守法规的措施，转向个人管理员账户可产生倍增效应，允许机构在一台物理/虚拟主机上操作几十个账户，有时候操作数百个账户。同样的倍增概念是很明显的，因为虚拟机快照可在各种物理主机上实体化以提供伸缩性、性能或者业务持续性。

　　此外，这是操作一个物理的和虚拟的环境的增倍效应，因为它关系到维护管理员和应用程序的接入控制，从而推动自动化的需求。人工维护这些账户成本太高是不允许的，存档和审计都很复杂，容易产生人为错误和由于人类知道口令带来的安全风险。自动化有助于减少成本、减少错误、提高效率和增强安全。

　　在虚拟机中实现管理员或者应用程序操作的口令改变自动化与物理环境中的做法没有太大的区别。在虚拟机中的操作系统账户可以使用同样的协议、应用程序编程接口或者功能进行维护。同样，在虚拟机中的应用程序账户与在物理机器中维护方式是一样的。

　　为了改变口令，自动化的口令管理解决方案把物理机器、虚拟机、应用程序及其账户看作是目标系统。通过注册目标账户的识别细节，自动口令管理系统定期地或者根据需要影响口令改变是可能的。因为虚拟机能够像一台物理机器一样在整个网络上识别出来，无论管理的账户是在物理机器上还是在虚拟机上，口令管理解决方案都是没有区别的。

　　有权限的账户管理系统消除了管理员和应用程序使用的单调的和容易产生错误的改变口令的过程。此外，这些系统能够根据需要向管理员提供基于政策的重要口令以及在运行时间里向应用程序提供这种口令。

　　任务管理

　　虚拟机的普及和整个物理机器之间可移植性的潜力有必要在可能的地方建设任务的数量并且保持这些任务的数量以便不重复或者重叠可能产生安全问题的权利和许可。幸运的是机构中正在出现一种创建集中的任务信息源的重要趋势，从而消除了每一个应用程序维护自己的任务定义和分配的需求。许多厂商现在正在提供管理解决方案，帮助定义管理和运行操作系统和应用程序的任务。虚拟化厂商应该把自己的行政管理控制台与这些任务管理系统结合在一起;不这样做会产生一个单独的管理框架并且产生虚拟机快照不能与一家公司的变化的任务环境同步维护的危险。

　　与口令管理类似，任务管理在使用虚拟机快照的地方是没有效率的。事实上，一个使用口令的克隆的虚拟机有可能破坏PCI等形式的规定，因为不鼓励使用共享的口令。登录到拥有陈旧信息的恢复的虚拟机实例的管理员让他们不适当地执行任务可能是造成他们这样做的原因。要解决这个问题，最好是从这个虚拟机本身提取这些功能并且把这些虚拟机机器内部应用程序与这些口令和任务信息的外部资源结合起来。

　　总结

　　在虚拟环境中工作产生了各种新的安全和管理的挑战。虽然安全提供了与部署在虚拟化环境中工作的虚拟基础设施和应用程序有关的单调的任务和活动的自动化的机会，但是，虚拟化在传统的安全思想外部提出了重要的安全问题。在一个虚拟环境中实施适当的接入控制很快就变得非常复杂。目前，这些控制措施还必须考虑到虚拟机的开始/停止或者快照的性质，以及对访问证书的流通和在管理之下的任务的潜在的影响。

　　采用额外的安全规划，机构将能够看到通过服务器整合实现的承诺的削减成本。他们还能够从传统的好处中受益，如改善的持续性和快速回复运营、服务的本地可用性、减少支持各种硬件和操作系统所需要的技能、在配备同样数量的管理人员的情况下迅速部署支持数千个虚拟机。虚拟化毫无疑问是通向未来的数据中心、基于云的计算甚至桌面的途径。然而，没有适当的安全规划，虚拟化的代价将远远超过预测的和潜在的节省。