桌面虚拟化带来的挑战和变化

与MAC或IP地址紧密相联的安全策略，在相关实体是虚拟时会变得效果不佳。当应用运行在虚拟机中时，安全设备必须考虑到谁想访问、他们想访问什么、何时何地访问，以及他们是从什么设备而来。一个公有云或私有云中的虚拟机之间应当能够执行同样水平的安全策略，要能够根据请求数据的环境而不是发出请求的MAC或IP地址来执行安全策略。

正如在物理服务器上一样，添加安全软件会增加工作负载，消耗资源，降低性能。虚拟化的服务器相比物理服务器来说，能够以更高的效率来利用资源，但这并不意味着一眼就能看到在何处、如何实施安全措施。是在每个虚拟机中安装代理程序来保护它们的安全更好，还是说这样做会消耗太多的资源，而认为使用某种可以监视一组VM的工具更好。

虚拟化服务器不仅仅意味着能够把多个操作系统集成到一台机器中，它意味着在这台机器中建立一个网络，这台机器中的所有VM能通过这个网络相互通信，并能与运行在其他服务器上的应用，以及Internet进行通信。同样的加密技术可以帮助锁住会感染数据中心中运行的VM或系统的恶意软件，即使一个VM受感染，仍能保护其余VM安全无恙。

如何加强虚拟化的安全：一：虚拟化定义：谈论虚拟化安全时，要考虑的第一个重要因素就是定义虚拟环境到底是什么，因为这将界定对网络构成的威胁类型。虚拟环境是指直接或间接涉及虚拟主机的一切。虚拟环境的部件包括但不仅限于管理工具、备份工具、存储系统、虚拟网络和物理网络。如果对虚拟环境定义不当，就会导致企业忽视一个重要的安全问题，从而危及整个网络。

二：一开始就让IT安全小组参与进来：如果安全小组在项目的后期阶段才参与进来，必然造成安全系统经过改造后堆砌到网络上的结果。安全方面变得异常复杂。不过复杂的解决方案和规程加大了配置出错的可能性，结果实际上削弱了安全效果。Gartner公司近期的一份报告表明，99%以上的安全泄密事件是由配置不当引起的。

三：安全机制引入到虚拟环境：虚拟环境是内部网络的一部分，很容易遭到安全威胁，所以对它要像对内部网络的其余部分那样予以足够有效的保护。防火墙等传统的物理安全设备存在一大缺点，原因在于它们无法了解虚拟环境的内部情况。虽然物理安全设备能够看清进出虚拟环境的每个数据包，但看不清内部流量情况。换句话说，如果某个虚拟机被感染，该虚拟机会传染到整个虚拟网络，物理安全设备却毫无察觉。所以不管你在物理环境采用什么样的安全战略，虚拟化环境也要有一套同样的安全战略。如果你在应用程序之间以及网段之间采用内部防火墙机制，并开始对应用程序和网段进行虚拟化处理，或者甚至像一些主机托管公司那样对数据中心缩减规模，那么你就需要把所有安全机制引入到新的虚拟化环境。

四：留意虚拟局域网标记：物理安全设备厂商们声称，如果你使用虚拟局域网标记（VLAN标记）技术，就能把虚拟网络扩展到虚拟环境之外。这从技术层面来说确实如此，但往往是深入了解虚拟网络的一种笨拙方法。管理不同的虚拟局域网是件很复杂的事，而这种复杂性会导致出现错误，最终导致系统不安全。

五：虚拟环境需要虚拟解决方案：领先一步的那些企业正在把防火墙和入侵防护系统（IPS）直接部署到虚拟环境中。它们在使用专门为保护虚拟网络而设计的解决方案。这样一来，它们就能直接深入了解虚拟机，并且从里面保护虚拟环境。虚拟安全设备可放置在虚拟环境内部的任何地方；这种更强的灵活性有助于保护最最复杂的虚拟网络。