虚拟管理的“命门”_中国投影网新闻

　　尽管虚拟机管理程序可提供优化的性能，并缩小了可能的被攻击范围，但新的安全漏洞也会相伴而生，因此需要从设计伊始就将安全性纳入考虑之内，而不能事后诸葛亮。这里有个问题：选择什么产品事关上百万美元的开支：是让开源社区去评测XenSource的产品更可靠呢，还是采用VMware和其他专有虚拟机管理程序厂商的产品保护主系统是上佳之选?

　　"就我所了解，VMware的质量保证(Quality Assurance)做得简直天衣无缝，"西普雷表示，"与其他许多公司相比，他们就像摇滚明星一样夺目。今年甲骨文公司(Oracle)到底推出了多少个补丁?我无法说出确切的数字，因为那已经是个3位数了。"

　　与此同时，有近6万行代码的XenEnterprise 4.0也已粉墨登场，XenSource的CTO西蒙•克罗斯比(Simon Crosby)介绍说。代码愈少，意味着出现安全漏洞的机会也就愈低。此外，XenSource采用的是国际商业机器公司(IBM)的安全虚拟机管理程序技术;而且，XenEnterprise还历经开源社区堪称苛刻的评测，获得了公共标准5级认证(Common Criteria Level 5)。

　　芯片设计公司和虚拟化软件厂商力争在这场安全之战中保持领先位置。英特尔商业客户架构总监史蒂夫•格罗勃曼(Steve Grobman)表示，英特尔VT-X服务器和桌面虚拟化产品干脆就是以加强安全性为安身立命的根本。比如说，英特尔现行VT加强服务器芯片组即在传统3个CPU代码特权层上，提供用于虚拟化的新代码特权层。

　　毫无疑问，VMware是企业级虚拟化市场当仁不让的领导者，而且目前尚无人可撼动其地位。

　　"VMware ESX服务器的设计、测试和部署与传统大型平台操作系统形成鲜明对照，"VMware联合创始人兼首席科学家曼德尔•罗森布鲁姆(Mendel Rosenblum)指出，"从写第一行代码开始，我们对安全性给予了始终如一的关注。我百分之百地确信，VMware虚拟机管理程序的安全性不会因为设计缺陷而功亏一篑。"
　　
　　我们当然希望现实能为他的这种成竹在胸提供佐证。而且，事实上，迄今为止，虚拟化软件厂商在此方面确实无往而不胜。

　　让我们祝他们好运。

　　世界末日

　　并非只有虚拟化软件厂商拥有这种所向无敌的大好局面，危及到独立服务器操作系统安全的伪装的Rootkit也大有打遍天下无敌手之势。如果你掌控着虚拟机管理程序，你就等于拥有了其上运行的所有数据，并且有权据己所好，采集或者重定向任何数据，甚至玩弄欺骗伎俩。由于缺乏相应的自动防故障装置，客户操作系统根本无法知晓其赖以运行的平台安全已经受到了危及。

　　那些大规模的虚拟化平台可在一台硬件上运行10台、50台、乃至上百台虚拟服务器，而这些软件的安全一旦出现了漏洞，其所造成的影响也如噩梦一般。由于安全失控而导致的风险和营业额损失将难以计数。

　　确保平台安全运行的关键在于，在安装多台自动防故障装置的同时保持虚拟机管理程序的完整性，这样虚拟操作系统才能确保与之通信的主操作系统的安全尚未受到威胁，并进而将之作为通向下层硬件和外部连接的桥梁。如果某个客户操作系统未经修改，就试图在Ring 0层之外运行，那么虚拟机管理程序定会拦截"违禁的"Ring 0层指令，并将这些指令转到他处仿真执行，而客户操作系统对所发生的一切全然不知。硅制造商也开始关注这一领域，并且已开始行动起来;比如，英特尔和AMD公司新推出的定位于虚拟化市场的芯片，即可在Ring 0层以下安插新的特权层。两家公司的新机器代码指令均只能运行于Ring 1层，以被虚拟机管理程序所统辖。采用此法，厂商无需修改客户操作系统，而虚拟机管理程序转移执行"违禁指令"的做法也大大减少了。

　　虚拟机管理程序一方面需要令客户端操作系统确信，只有它有权访问主服务器的物理资源，同时又要修改访问权限以确保程序和数据不致在不同操作系统间随意流动。利用基于最新芯片组的虚拟化平台所需的额外的代码特权层，在发生安全漏洞事件或应用程序出现错误时，厂商便可以降低出错的客户操作系统的影响。

　　如果负责拦截客户操作系统与底层硬件之间的通信的平台安全受到危及，就需要将风险降到最低。为此，需要执行某种形式的交易确认过程。

　　在可信计算联盟(the Trusted Computing Group)中，广为采用的标准是可信平台模块(Trusted Platform Module，TPM)。TPM是可信虚拟机管理程序的核心组成部分，它提供基于硬件的可信根证书(Root Certificate),进行度量的可信之所，以及几个可存储信用度量的目录。利用TPM硬件加密提供的可靠方式，客户操作系统可评估与虚拟机管理程序之间的通信。