不安全的虚拟化：谁控制了你的虚拟机（下）

控制：虚拟基础设施安全的要素

为虚拟化平台做优化需要在综合的安全和控制策略里包含四个必要的部分：访问控制、政策实施、配置控制和日志。优化就是在保持现有的安全设施的同时增加新的虚拟化相关的功能，提高自动化水平。

我们对虚拟化平台优化作出如下建议：
1 访问控制和用户角色：集中化合理化的存取方式，减少冗余和低效率；提供有效地分类以适应新型虚拟资源类型、用户角色及存取协议。

2 对象和安全政策：简化政策设计和改造过程；支持政策进口/出口；使原有的目录服务器和虚拟基建库存/拓扑结构及用户描述性数据达到平衡；通过标签提高移动/瞬态的虚拟资源的可视性。

3 配置控制：支持产业标准化和第三方的配置评估框架；通过角色和对象监控所有配置变化；通过持续的跟踪配置变化提高响应次数；减少自动修复的合规风险。

4 日志和政策执行：为快速检定法提供持续、固定、有间隔尺度的日志；支持用户特别日志；使校验活动日志和系统的日志工具达到最优平衡；通过实时的监督和警报减少合规风险。

这些改进将能够使虚拟数据中心达到物理基础设施操作运营准备执行的同一水平。

首先，重要的是要认识到对于成功的一级负载虚拟化来说，安全控制是必要而不是随意的。规则遵从和普遍存在并持续增长的，影响任何规模的企业，跨越所有行业（HIPAA, Sarbanes-Oxley, PCI DSS等等）。如果现在你的数据或进程还不符合内在规则的审阅，那么将来也必定需要遵从。因此,每家公司的业务焦点、安全技术和法规遵从管理知识在任何考量上都必须加重。

并且，我们需要理解虚拟平台厂商提供的安全性能的目的和局限。总的来说，他们是为了使第三方附加安全解决方案而不是取代他们。例如，VMware提供VMsafe技术进行深层次的检查和增强技术虚拟机的控制以支持第三方的入侵检测、抗病毒等相关的解决方案。VMware还有一个强化指南，为保障VM配置记录最佳做法。这些都提高了虚拟化平台的可视度和控制，但是都不是完整的安全解决方案。

综上所述，虚拟基础设施提供新的复杂性和机动性的挑战，不仅使安全计划复杂化，而且威胁到商业关键负载限额虚拟化。目前为止的虚拟化管理解决方案已经实现访问和配置控制活动的快速提取和整合的优先级。在我们看来，具有较高的虚拟化管理成熟度是必定的前进，使用新的管理工具强调控制，通过自动化实现效率优化。

不安全的虚拟化：谁控制了你的虚拟机（上）http://security.doit.com.cn/article/2009/1224/1916405.shtml

不安全的虚拟化：谁控制了你的虚拟机（中）http://security.doit.com.cn/article/2009/1228/6719874.shtml

未经允许不得转载：DOIT » 不安全的虚拟化：谁控制了你的虚拟机（下）