解析虚拟服务器10大安全隐患

　　Hypervisor市场的竞争与创新对企业来说未尝不是一件好事，Hoff说道。它能激励厂商争相提供更加瘦身、智能的Hypervisor软件。

　　“不管它是Phoenix还是其它厂商，这场有趣的战争都会带领Hypervisor成为下一个卓越的OS，”Hoff说道。

　　降低受攻击的可能性并非嵌入式Hypervisor的唯一强项。 Mazda的IT小组正期待即将到来的预置了VMware ESX server的DELL服务器， Mazda的IT系统经理Kai Sookwongse表示，“我们所期待的功能之一是所有的VM镜像都能在SAN上展现，”Sookwongse 表示。

　　“当我们启动服务器时，它能从SAN的镜像上启动。”这种集中管理与安全的方式也意味着Mazda能够订购一台没有硬盘的服务器，从而达到物理安全的目的，他说。

　　5. 不要给虚拟机指派过度的权限

　　务必牢记，在你对虚拟机指派管理级别的访问权限时，你就等于授权访问那台虚拟机的所有数据。 Burton Group的Wolf建议你仔细斟酌备份管理人员需要哪些帐号和访问权限。某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的， Wolf补充道。 “这些厂商甚至连自己没有遵照VMware关于VMware Consolidated Backup的最佳实践来执行”。

　　Arch Coal公司就限制了虚拟机的管理访问权限，该公司的信息安全管理员Paul Telle表示他的同事Tom Carter以及Carter的上司是公司中为数不多的拥有最高权限的小组成员之一。

　　应用开发员的访问权限要尽量降低。 “我们要么降低应用开发人员的访问权限，要么让他们进行共享访问，他们无法访问OS，”Carter说道。这帮助公司控制了虚拟机的增长，同时提高了安全性。

　　6. 注意你的储存

　　某些企业如今在SAN上的储存有些过度，Wolf说。这不是总体储存太多的问题，而是你有可能让一台错误的虚拟机共享了部分的SAN，他说。

　　如果你使用的是VMotion，那么你就等于在SAN上分配了部分区域。你要使那些储存分配更加区位化，Wolf建议道。 N-port ID虚拟化就是一种可以让IT分配储存到虚拟机上的技术，这是一种值得深入研究的技术，Wolf说道。

　　7. 在网络分区中确保良好的隔离

　　随着企业走向虚拟化，他们不该忽略网络流量上与安全有关的风险。但某些风险的确容易被忽略，尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。 “许多企业仅仅使用绩效作为度量方式来加强整固，”Wolf说道。 (在评估定位哪些应用服务器在物理箱中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理箱承担太多的负荷。) “他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起，”Wolf说道。

　　比方说，某些CIO决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。

　　如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器，Wolf说道。

　　Abbene说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

　　他们在内部局域网中展开虚拟服务器，不面向公众。 “这是早期一个关键的决定，”Abbene说道。比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器;那就没有必要将虚拟机引入那块领域，他说。

　　8. 交换上的隐忧

　　“某些虚拟交换机如今被当Hub来用：在虚拟转换机中，每一个端口都被映射到其它端口上，”Wolf说道。 Microsoft Virtual Server就是这样。而VMware的ESX Sserver则不会，Citrix XenServer也不会。 “人们一听到‘交换机’就会认为有分隔存在。其实它是根据厂商的不同而不同的”。

　　Microsoft声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中被解决，Wolf补充道。