利用虛擬化帶來的經(jīng)濟(jì)上的可擴(kuò)展有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服務(wù)的能力，然而利用這些虛擬化技術(shù)也會帶來其它安全問題，本文將考慮這些安全問題。虛似化技術(shù)有許多種，最常用的是操作系統(tǒng)虛擬化，本文將主要針對這一技術(shù)，如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機(jī)(VM)技術(shù)，這些VM系統(tǒng)間的隔離加固是必須要考慮的。

虛擬操作系統(tǒng)管理方面的實(shí)踐現(xiàn)狀是：大多數(shù)提供缺省安全保護(hù)的進(jìn)程都未被加入，因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面，但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅，虛擬機(jī)間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信，因此，這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的，無法對它們進(jìn)行監(jiān)測、在線封堵，類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題，云計(jì)算服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點(diǎn)上分布的數(shù)據(jù)更安全，然而這同時也將風(fēng)險(xiǎn)集中了，增加了一次入侵可能帶來的后果。

還有一個問題是不同敏感度和安全要求的VM如何共存。在云計(jì)算中，某一最低安全保護(hù)的租戶，其安全性會成為多租戶虛擬環(huán)境中所有租戶共有的安全性，除非設(shè)計(jì)一種新的安全結(jié)構(gòu)，安全保護(hù)之間不會通過網(wǎng)絡(luò)相互依賴。

建議

如果用戶的云提供商提供了虛擬化，識別清楚提供的是哪一種虛擬化。

應(yīng)通過第三方安全技術(shù)提供分層安全控制，減少對平臺提供商的依賴性，加固虛擬操作系統(tǒng)。

設(shè)法搞清VM內(nèi)部采用了哪些安全控制，除了內(nèi)置的 hypervisor 隔離――如入侵檢測、反病毒、脆弱性掃描等，缺省配置達(dá)到的安全等級必須達(dá)到或超過業(yè)界基本的安全要求。

搞清VM外部有哪些安全控制來保護(hù)暴露給用戶的管理接口(基于Web的、API等)

在使用云提供商提供的任何VM 鏡像(image)或模板前，驗(yàn)證它們的完整性及出處。

必須使用嵌入hypervisor API的VM定制的安全機(jī)制對VM背板上的流量進(jìn)行細(xì)粒度的監(jiān)測，這些流量對傳統(tǒng)的網(wǎng)絡(luò)安全控制設(shè)備來說是不可見的。

虛擬操作系統(tǒng)的管理員訪問控制是極為重要的，應(yīng)采用與企業(yè)身份管理集成的強(qiáng)認(rèn)證以及防篡改的日專和完整性監(jiān)測工具。

探究VM分段的可行性和有效性，根據(jù)使用類別、產(chǎn)品階段(如開發(fā)、生產(chǎn)和測試)和服務(wù)器、存儲等不同物理硬件上的數(shù)據(jù)敏感度生成不同的安全域。

具有報(bào)告機(jī)制以提供隔離的證據(jù)，并在隔離被破壞時產(chǎn)生告警。(責(zé)任編輯：admin)