什么是虚拟化安全

在虚拟环境中集中部署安全控制措施，例如使用虚拟安全交换机，在虚拟机之间嵌入隔离、控制和内容检查等安全功能。与在每个虚拟机上部署主机安全解决方案相比，这种方式可以提供更高的安全性和效率。

使用虚拟防火墙、虚拟路由器和其他虚拟网络设备，可以为虚拟网络提供更强大的安全性和网络组织能力，解决虚拟交换机创建单一广播域的局限性。网络功能虚拟化（NFV）平台的编排层也很重要，可以管理虚拟化网络功能，提供高可用性、安全性和低运维成本。

虚拟环境存在一些特有的安全问题，例如可以轻松迁移、克隆和销毁虚拟机而不留痕迹，从而绕过现有的安全实践。因此，需要对虚拟机和虚拟网络进行适当的日志记录、监控和访问控制，以检测和防止此类问题。

云提供商可以利用规模经济效应，使用尖端基础设施和高度安全的物理网络组件。组织可以使用云网络安全工具并遵循网络配置最佳实践，进一步增强安全性。

虚拟化可以显著提高灾难恢复能力。当自然灾害或网络攻击影响业务运营时，恢复访问IT基础设施和更换或修复物理服务器可能需要数小时甚至数天时间。而在虚拟化环境中，这个过程只需几分钟。这种快速响应大大提高了恢复能力，有利于业务连续性，确保运营按计划继续进行。

在单个主机内部，虚拟机之间的网络活动很难被记录和监控。验证虚拟机访问以满足合规性要求也存在困难。此外，虚拟机之间不当使用虚拟网络资源和带宽也难以被发现或纠正，异常或不当服务运行在虚拟网络中也可能被忽视。

虚拟化环境存在一些独特的安全问题，可能会破坏物理安全措施和实践。虚拟机可能会被有意或无意地在受信任和不受信任的虚拟化环境之间迁移。虚拟机和虚拟存储卷可以被轻松克隆并在虚拟化环境的任何部分运行，包括DMZ。此外，授权用户可以快速创建虚拟机而不遵循既定的IT安全实践。

虚拟服务器镜像的移动性也带来了整个服务器被感染并传播恶意软件的潜在问题，因为管理员可能会从不受信任的来源下载预安装的虚拟服务器。如果下载的虚拟服务器包含木马程序，后果可能是灾难性的。

为了解决这些挑战，供应商开始提供虚拟防火墙、虚拟路由器和其他网络设备，以允许虚拟网络提供更强大的安全性和网络组织解决方案。

虚拟化平台是虚拟化安全的核心基础。它提供了管理、监控和保护虚拟化网络组件的载体级功能。Amazon Web Services Nitro System就是一个轻量级的虚拟化平台，它将管理虚拟机监控器（VMM）的任务委托给专用硬件和软件，从而实现更快的创新和更高的安全性。

VNF是在虚拟化基础设施上部署的网络功能软件实现。它们是构建虚拟化服务的关键组件，需要在虚拟化环境中实现安全可靠的运行。

NFV-MANO框架负责管理和编排VNF及其底层虚拟化基础设施的部署和运行。它必须能够实例化、监控和修复VNF实例，并提供计费和其他运营商级功能，以确保虚拟化服务的安全可靠。

除了虚拟化平台和NFV-MANO框架外，还需要使用虚拟安全交换机、虚拟防火墙、虚拟路由器等虚拟安全设备，来隔离虚拟机、限制通信并监控恶意活动，增强虚拟环境的安全性。

VMM或称为虚拟机管理程序，是管理物理计算机上多个虚拟机的关键软件组件。确保VMM的安全性对于整个虚拟化环境的安全至关重要，因为任何影响VMM的问题都会影响运行在其上的所有虚拟机。

在虚拟化环境中，多个虚拟机共享同一硬件资源，形成单一广播域，缺乏传统多层物理网络中的网络隔离和分段。这意味着一个虚拟机上的用户可能访问同一虚拟网络上的其他虚拟机，一旦某个虚拟机被入侵，就可能成为攻击同一网段其他虚拟机的平台。此外，如果虚拟网络连接到物理网络或更广阔的互联网，虚拟机可能获得访问外部资源和漏洞利用的途径。

为解决上述隔离和访问控制问题，虚拟化供应商开发了虚拟防火墙、虚拟路由器和支持安全功能的虚拟交换机等虚拟安全设备。这些设备可在虚拟机之间提供隔离、控制和内容检查，使安全部署更靠近被保护的终端，无需在每个虚拟机上部署主机安全解决方案。集中式安全部署还可提高性能，优于在每个虚拟机上运行安全代理。

然而，单独的虚拟安全交换机无法完全复制物理多层网络的网络隔离。因此，通常需要结合虚拟安全设备和虚拟交换能力，才能在虚拟环境中实现健壮的安全性。

虚拟化通过在虚拟机上隔离软件程序，使其不会干扰其他客户操作系统上的应用程序，从而提供一定程度的安全性。但虚拟化环境依赖于虚拟机监控程序（Hypervisor）来保持健壮的安全态势，任何影响虚拟机监控程序的问题都会影响运行在其之上的所有虚拟机。因此，使用内置安全防护措施的虚拟机监控程序至关重要，以确保工作负载的完整性。 相比之下，传统物理服务器环境缺乏相同级别的隔离，更多依赖于防火墙和访问控制等边界安全措施。虚拟化使得更细粒度、基于软件定义的安全方法成为可能，可以更好地响应不断变化的威胁和要求。 此外，像亚马逊云科技这样的云提供商提供了专门的虚拟化技术，如Amazon Web Services Nitro系统，将虚拟机监控程序管理任务委托给硬件和软件，从而实现更安全、高效的云环境。

虚拟网络安全设备可用于隔离虚拟机、限制虚拟机之间的通信、监控恶意内容传播和阻止拒绝服务攻击。这些虚拟网络安全设备为虚拟环境提供了更加健壮的安全性和网络组织解决方案。

由于虚拟机共享计算资源，因此在虚拟环境中集中部署安全解决方案可以提高性能，比在每个单独虚拟机上运行安全解决方案更加高效。这种集中式虚拟安全解决方案可以提供更好的资源利用率。

虚拟机监控程序是管理单个物理机器上多个虚拟机的关键软件组件。确保虚拟机监控程序的安全性对于保护整个虚拟化环境至关重要。

虚拟服务器镜像的移动性可能带来潜在的安全风险，因为恶意软件可能通过下载的虚拟服务器镜像进行传播。因此，需要采取适当的措施来验证和保护虚拟机镜像的安全性。

虚拟防火墙是在虚拟化环境中运行的防火墙服务或设备，可以是虚拟机形式，也可以集成在虚拟机监控程序中。这些虚拟防火墙能够提供与物理防火墙类似的数据包过滤、监控和安全功能，但是在虚拟网络环境中运行。

另一种方法是通过VLAN将虚拟网络流量路由到物理网络，在物理防火墙上进行监控和过滤，然后再传回虚拟网络。这种方式可以利用现有的物理安全基础设施来保护虚拟环境。

虚拟化带来了一些新的安全挑战，比如可以轻松克隆或在受信任和不受信任的环境之间迁移虚拟机。为了解决这些问题，需要在虚拟化环境中实施访问控制、日志记录和虚拟机间流量监控等安全措施。

与在每个虚拟机上部署安全解决方案相比，在虚拟环境中集中部署安全措施可以提高性能和效率。这种集中式部署可以减少资源开销，并提供更加一致的安全策略。

Linux操作系统和KVM虚拟机监控程序为虚拟化环境提供了一些内置的安全特性。例如，KVM允许虚拟化尽可能接近服务器硬件运行，从而减少延迟并提高安全性。Linux的安全增强功能如SELinux也可以确保虚拟环境遵守各自的安全边界。

与物理网络不同，虚拟网络缺乏防火墙、访问控制列表和入侵防御系统等典型的安全控制措施。这种"开放式"的虚拟网络环境可能导致资源被滥用、恶意服务无法被检测以及监控和合规性问题。

能够轻松克隆虚拟机并在受信任和不受信任的环境之间迁移，为物理安全措施所无法解决的新漏洞打开了大门。虚拟机部署的速度和自动化程度也可能绕过现有的安全实践。

虚拟化环境依赖于虚拟机监控程序来确保健全的安全态势。影响虚拟机监控程序的任何问题都将影响在其之上运行的所有虚拟机。因此，使用内置安全防护措施的虚拟机监控程序来保护工作负载的完整性至关重要。

为解决这些挑战，供应商开发了虚拟安全交换机，将安全控制直接嵌入到虚拟网络基础设施中。与基于主机的安全解决方案相比，这种集中式安全方法可提供更好的隔离、检查和控制。

确保能够监视和记录单个主机内虚拟机之间的网络活动。这有助于验证虚拟机访问的合规性，并检测任何不当使用虚拟网络资源和带宽的情况。同时也要监控并检测虚拟网络上运行的任何异常或不当服务。

虚拟机可能会在受信任和不受信任的虚拟化环境之间故意或意外迁移。虚拟机和虚拟存储卷也可以轻松克隆并在虚拟化环境的不同部分运行，包括DMZ。这可能会绕过现有的IT安全实践，因此组织应制定流程来管理和监控虚拟机迁移和克隆。

使用加密和虚拟专用网络（VPN）来防止窃听虚拟网络流量。同时，应用无线网络的最佳加密实践，并使用HTTPS而不是不加密的HTTP，也有助于确保虚拟环境的安全性。

定期审计虚拟化环境，并及时修补任何发现的漏洞。保持虚拟机监控程序、管理工具和虚拟机操作系统的最新状态，有助于降低安全风险。