正在阅读：服务器虚拟化安全管理的十个步骤服务器虚拟化安全管理的十个步骤

　　5. 不要给虚拟机指派过度的权限

　　务必牢记，在你对虚拟机指派管理级别的访问权限时，你就等于授权访问那台虚拟机的所有数据。所以管理者一定要仔细斟酌备份管理人员需要哪些帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的。 这些厂商甚至连自己没有遵照VMware关于VMware Consolidated Backup的最佳实践来执行。

　　应用开发员的访问权限要尽量降低。 要么降低应用开发人员的访问权限，要么让他们进行共享访问，他们无法访问OS。 这帮助公司控制了虚拟机的增长，同时提高了安全性。

　　6. 注意你的储存

　　某些企业如今在SAN上的储存有些过度。 这不是总体储存太多的问题，而是你有可能让一台错误的虚拟机共享了部分的SAN。

　　如果你使用的是VMotion，那么你就等于在SAN上分配了部分区域。 你要使那些储存分配更加区位化。 N-port ID虚拟化就是一种可以让IT分配储存到虚拟机上的技术， 这是一种值得深入研究的技术。

　　7. 在网络分区中确保良好的隔离

　　随着企业走向虚拟化，他们不该忽略网络流量上与安全有关的风险。 但某些风险的确容易被忽略，尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。 许多企业仅仅使用绩效作为度量方式来加强整固， 在评估定位哪些应用服务器在物理箱中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理箱承担太多的负荷。 他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起。

　　比方说，某些CIO决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。

　　如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器。

　　Abbene说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

　　他们在内部局域网中展开虚拟服务器，不面向公众。 这是早期一个关键的决定。 比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器;那就没有必要将虚拟机引入那块领域。

　　8. 交换上的隐忧

　　某些虚拟交换机如今被当Hub来用： 在虚拟转换机中，每一个端口都被映射到其它端口上。 Microsoft Virtual Server就是这样。 而VMware的ESX Sserver则不会，Citrix XenServer也不会。

　　Microsoft声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中被解决。

　　9. 监控桌面与笔记本电脑上的“流氓”虚拟机

　　服务器并不是你唯一要担心的。 最大的隐患是在客户端 – 流氓虚拟机。 什么是流氓虚拟机? 用户能够下载并使用像VMware Player这样的免费程序，这能让桌面型和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。

　　许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来区分工作，或区分公事与私事。 有人使用VMware Player来运行多重系统;比如使用Linux作为基本系统，但是在Windows应用上创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)

　　通常，这些虚拟机甚至都没有达到补丁级别。 那些系统被暴露在网络上。 所有这些未被管理的操作系统都在到处漂浮。

　　这会给你增添很多风险，那些运行流氓虚拟机的电脑能够传播病毒，甚至传播到你的物理网络上。 比方说，人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。 最终，你将浪费大量的IT资源来追踪这些问题，它甚至只是由一个简单的用户错误所引起的。

　　那么你该如何避免流氓虚拟机呢? 你应当从一开始就控制那些拥有VMware工作站的人(因为他们需要安装虚拟机)。 IT也可以使用一个安全策略组来防止某种程度上的软件执行，比如针对那些需要安装VM player的人。 另一个选择是： 定期审查用户的硬盘。 你要找出那些装有虚拟机的电脑并将它们标记起来以备追踪。

　　这会转变成用户和IT之间的又一个冲突，技术熟练的用户希望能够象在家里一样的在公司电脑上使用虚拟机。 而大部分IT部门都疏忽了这一点。

　　如果你允许用户在电脑上安装虚拟机，那么像VMware Lab Manager和其它管理工具都能帮助IT控制并监管那些虚拟机。

　　10. 在计划预算时就考虑到虚拟化安全问题

　　确保在虚拟化安全和管理方面分配到适当的预算。 你或许不需单独列出虚拟化安全预算，但你的总体安全预算需要覆盖到这一部分。

　　同时，在你计算虚拟化投资回报的时候留意安全成本。 随着虚拟服务器的越来越多，你的安全成本或许根本不会减少，因此你要运用现有的安全工具来管理每一个你所创建的虚拟机。 如果你没有预料到这部分费用，那么它将吞噬掉你的投资回报。