對于IT專業(yè)人士而言，虛擬化既簡化又復雜化了網(wǎng)絡環(huán)境。

大多數(shù)IT專業(yè)人士都知道，虛擬化提高了IT資產(chǎn)的運營靈活性 。然而，與此同時，虛擬化也讓網(wǎng)絡環(huán)境更加復雜。以前我們要說出具體機器的名稱才能指向它，而現(xiàn)在這些機器被虛擬化為一個使它們具有移動性的基礎設施。

無論是通過VMware的vMotion還是微軟Hyper-V的Live Migration實現(xiàn)的移動性都確保了最高的運行時間，然而，這種移動性還引入了很多與安全有關的潛在問題。

如果虛擬機可以移動，它們將如何被控制?如果它們可以在任何位置，你該如何部署控制?

幸運的是，IT部署虛擬化的驚人速度催生了高水平的安全指導，而這比心態(tài)上的整體轉(zhuǎn)變還要快。在提高動態(tài)虛擬環(huán)境的網(wǎng)絡安全性時，請考慮以下三個關鍵步驟：

分離虛擬機管理和從虛擬機操作遷移是很重要的步驟。

技巧1：從虛擬機操作分離虛擬機管理。 這個技巧最常被忽略，而這也是最重要的技巧之一。

首先，考慮一下虛擬機可能的操作：電源開啟和關閉、重新啟動其操作系統(tǒng)、創(chuàng)建和管理快照(snapshot)，以及在其操作系統(tǒng)內(nèi)工作或者遠程化其控制臺。

記住這些操作，現(xiàn)在將它們分成截然不同的兩部分。第一部分是再虛擬機內(nèi)完成的操作，例如管理或者說運作其操作系統(tǒng)。第二部分是對虛擬機本身進行的操作，例如打開電源開關或者創(chuàng)建快照。最佳網(wǎng)絡安全做法建議第二部分的操作應該隔離到其自身的獨立的高度控制的網(wǎng)絡中。

如果這種隔離還是讓你感到困惑，那么可以想一想對實體計算機的操作。在實體計算機上，有電源按鈕、網(wǎng)絡接口，以及直接(或邏輯地)連接到機箱的各種形式的管理工具。你需要按下電源按鈕來關閉機器，電源按鈕就在機箱上。連接網(wǎng)絡也需要你將網(wǎng)線插入機箱。

在現(xiàn)實世界，需要通過指紋識別和證件進入數(shù)據(jù)中心房間后，才能夠進行這些操作。如果虛擬化環(huán)境沒有部署身份驗證系統(tǒng)，而任何人都可以直接操作，這就像將數(shù)據(jù)中心房間的大門敞開。將這些操作(通常是通過系統(tǒng)管理程序的“管理連接”來設定)隔離到它們自己的網(wǎng)絡等于重新鎖上了虛擬數(shù)據(jù)中心的大門。

技巧2：從虛擬機操作中隔離虛擬機遷移。如果說，技巧1是最容易被遺忘的最佳做法，那么技巧2則緊跟其后。很多IT專業(yè)人士并不一定知道，在vMotion或者Live遷移期間，一些管理程序并不會對兩臺主機間傳遞的內(nèi)存狀態(tài)信息進行加密。

現(xiàn)在，從很多類型的惡意軟件行為的角度，想一想這種設計目的。這些惡意軟件行為都是關于捕捉以及重新配置內(nèi)存數(shù)據(jù)值，通過重新配置某些內(nèi)存數(shù)據(jù)值，惡意軟件可以將其自身“插入”到內(nèi)存中，然后將其有效載荷放入內(nèi)存，惡意軟件就可以在不被系統(tǒng)察覺的情況下進行任何操作。

雖然虛擬機是在主機上運行，但它們地內(nèi)存仍然受到操作系統(tǒng)架構(gòu)內(nèi)元素的保護。然而，在遷移過程中，這些元素被規(guī)避了，以將虛擬機的內(nèi)存狀態(tài)從一臺主機傳遞到另一臺。雖然這種情況很短暫并且不可預知，但是這仍然為潛在攻擊者提供了一次絕佳的機會。

盡管這個漏洞很難被利用，但是遷移流量應該被隔離到自己的網(wǎng)絡還有第二個原因：性能保證。遷移是時間敏感事件，特別是當很多遷移需要同時進行的時候。通過將其流量隔離到獨立的網(wǎng)絡路徑，可以幫助確?？焖賵?zhí)行遷移的最佳環(huán)境。

正確的網(wǎng)絡隔離政策幫助確保最佳虛擬機操作。

技巧3：從虛擬機操作分隔虛擬機存儲。 從這些建議中，你看得出主題是什么嗎?很明顯，適當?shù)木W(wǎng)絡隔離是確保最佳虛擬機操作的最重要因素。

存儲問題與上述技巧1和技巧2有所不同。眾所周知，存儲連接是極其消耗資源的。虛擬機到其磁盤的連接通常需要大比例的千兆或萬兆連接。將存儲隔離到自身網(wǎng)絡避免了一個連接類型影響其他連接的吞吐量問題。

從安全角度來看，應該認識到一些存儲連接類型可能需要特別注意，例如iSCSI或者FCoE連接。在存儲流量傳遞不被虛擬環(huán)境管理員完全信任的網(wǎng)絡中，這個建議顯得尤為重要。iSCSI和FCoE都配備了身份驗證協(xié)議以確保目標和發(fā)起者在傳遞流量前互相確定身份。

在加密流量以及流量在發(fā)起者和目標之間的傳遞方面，這兩種協(xié)議只能提供有限的支持?，F(xiàn)在有很多技術(shù)可以完成這個任務，然而，在實際操作中并不是那么理想。加密要求在源頭和目標處進行額外的處理工作，而這種處理將影響或者降低性能。

加密還會對下游活動造成不良影響，例如如果在其配置中沒有進行特殊關注，將會出現(xiàn)復制問題。在選擇加密路徑前，請咨詢制造商。在確保傳遞過程的安全方面，可能需要不同的硬件、軟件或者配置。

結(jié)語

正如你所見，虛擬環(huán)境的網(wǎng)絡安全覆蓋面比物理環(huán)境更廣，有更多需要我們注意的地方。如果你選擇虛擬化，請檢查你的網(wǎng)絡安全策略，找出薄弱環(huán)節(jié)。要知道，潛在攻擊者肯定在做同樣的事情。