如何打造最安全的服务器虚拟化环境

不要忽略了虚拟机器的数据安全

就系统的型态来说，虚拟机器只是储存在实体硬盘的几个文件，一旦有办法取得存取硬盘扇区的权限，就能将这些文件复制到其它装置，然后从企业内部流出。

这个时候就不需要使用平常登入系统的账号、密码才能读取存放于虚拟机器的文件，只需要将虚拟机器的硬盘文件挂上另一个虚拟机器，里头所存放的文件就会摊在阳光下，任你取用。

关于这点，还是有办法保护的，在微软开放下载的一些技术文件，例如Windows Server 2008 Hyper-V and BitLocker Drive Encryption，以及Windows Server 2008安全指南当中，就提出这方面的建议。他们认为企业最好能透过Windows Server 2008内建的BitLocker全硬盘加密技术，将存放虚拟机器文件的扇区予以加密，如此一来，就可以避免因为文件外流，而造成企业营运上的损失。

做好漏洞修补，一样不可或缺

无论是实体平台，或者是虚拟机器，其目的都是为了要执行应用程序、提供服务，从这个层面来看，两者之间并没有什么不同。

对于企业日常的IT作业来说，发生频率最高，影响也相当大的威胁莫过于恶意程序，而除了需要透过防毒软件，避免病毒透过文件传输的途径植入系统之外，应用程序的漏洞修补也很重要，因此也需要透过一些机制，如微软的Windows Update、Windows Server _updateServices等机制，乃至于System Center Configuration Manager/Systems Management Server等软件包协助企业，将所需要的修补程序自动派送到虚拟机器上安装。

许多版本的Linux皆已内建虚拟化的套件，然而这些采用Linux套件建构虚拟化环境的企业当中，绝大多数并非是开放源代码的爱好，仅是因为操作系统，以及套件本身可以免费使用而己，在这种情形下，很自然地对于应用程序的漏洞修补就不是那么重视，或者是根本不知道该如何进行这项工作，因此安全问题就很容易由此滋生，而影响到虚拟机器的运作安全。

从相同的观点来看，也有人认为久未使用，一段时间没有修补过漏洞的虚拟机器，不可以马上和其它正常服务中的虚拟机器放置在同一台服务器上运作，必须经过一定程序，确认没有安全风险之后，才可以上线提供服务。

不仅是虚拟机器的系统本身，就连用来安装虚拟化套件，管理虚拟机器的操作系统，也需要修补，才能保证作业环境得以安全无虞。VMware在Virtual Center的套件当中，提供了VMware _updateManager的管理工具，可以从VMware官方的服务器取得更新文件，然后派送到内部网络的多台ESX/ESXi服务器统一进行更新。

除此之外，_updateManager本身也可以用来从事Windows、Linux，以及应用程序的更新作业，和VMware ESX/ESXi的更新档一样，前述这几种的修补程序也一样是从VMware官方的服务器下载取得。

微软的作法更显得保守、谨慎。他们认为，在精简模式的Server Core（包括Hyper-V服务器）环境下建置虚拟化，将有助于增加虚拟机器的安全性。位于主要区段上的操作系统其实不需要安装太多的应用程序，如此可以减少受攻击的面向，也连带降低漏洞修补的机率，以免影响到其它虚拟机器的运作安全。

至于管理方面，可利用免费下载的专用工具联机到远程的服务器，用来部署Hyper-V套件的操作系统，不需要以完整模式安装图形化接口。

移植现有产品，也是杀毒厂商整合虚拟化的做法之一

除了强化虚拟机器的保护之外，移植现有产品也是杀毒厂商整合虚拟化的一种做法，目前市面已有一些这类型的产品推出，并且部署在企业实际运作的网络架构当中接受测试。

在今年的RSA杀毒大会上，推出了一款能安装在VMware平台上的网页过滤产品Interscan Web Security Virtual Appliance 3.1，它是硬设备IWSA的虚拟化版本，能采用透通、代理服务器等模式，防止使用者浏览一些不被企业所允许阅览的网页内容，同时可以检查流量当中是否存在有病毒一类的恶意程序。

Brightmail Gateway是赛门铁克的邮件过滤产品，最早的虚拟化版本是7.6版，随着下一版产品的推出，产品在邮件防护功能方面也变得更加强化，由于内建了虚拟数据外泄产品──Vontu的功能模块，在过滤垃圾邮件，扫描恶意程序之余，也能检查邮件内容中是否带有需要受到保护，不被允许外流的机密信息。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友