1. 控制虚拟机的增长速度

Arch Coal公司的首席信息官迈克尔.阿本尼负责公司内部的IT部门，他对虚拟机增长过快所带来的问题有自己的独到见解： 创建虚拟机只需几分钟的时间。但它们的确能很好地独立完成各项计算工作。 但你拥有的虚拟机越多，你所面临的安全风险就越高。因此你最好能对所有的虚拟机都保持追踪。

"我们先从简单的虚拟化测试和开发硬件入手，"迈克尔.阿本尼说道。 "继而转向小型的应用服务器， 然后逐步扩大直到成功。 我们必须明白盲目行事只会增加我们的风险。" Arch Coal公司目前拥有45台虚拟机，其中包括活动目录服务器和一些应用和网络服务器。

那么该如何控制服务器的增长速度呢? 有一个方法： 按照创建物理服务器的规则去创建虚拟服务器或虚拟机。 在Arch Coal公司，IT团队对创建新的虚拟机的审核十分严格："无论是物理服务器还是虚拟机，要经历的审批流程就并没有什么不同，"Arch Coal的微软系统专家汤姆.卡特这样强调说。

本着这个目的，Arch Coal的IT部门通过变化控制委员会(由服务器、储存等不同部门的IT员工交叉组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了，即使是取得了开发人员的同意。阿本尼表示。

VMware公司的VirtualCenter（虚拟化中心）管理工具与Vizioncore的工具能帮助IT部门对虚拟机的增长速度进行管理。

互联网数据中心的艾略特表示 "虚拟机的增长过快是一个很严重的问题，它会导致在管理、维护和供给等各个环节上的落后"。 同时，如果你无法有效的控制虚拟机的数量，那些出乎意料的管理问题也会造成成本激增。

2. 将现有的流程在虚拟机上加以应用

虚拟化最大的魅力或许就在于它的速度： 你可以在几分钟内就创建一个虚拟机，轻松的进行迁移，为你的商业部门提供最新的计算能力，几周的工作量缩短到一天时间里就能完成。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重，要让虚拟化成为你现有IT流程的一部分，并且将安全预防问题放在第一位，艾略特说道。 你会逐渐发现更多令人头疼的管理问题。

"流程很重要，考虑虚拟化不仅要站在技术的角度，而且还要从流程出发。比方说，如果你是使用信息技术基础设施库（ITIL）来引导你的IT流程，那么你要事先考虑如何将虚拟化融入到整个流程框架里，"艾略特建议说。 如果你是使用其它IT最佳实践方法，也要考虑到虚拟化融合的问题。

赫夫给我们举了个例子： "如果你有一个服务器强化文件(指新服务器的安全和安装标准)，你就应当在你的虚拟服务器上按照物理服务器的流程一一照搬"。

在Arch Coal公司，迈克尔.阿本尼的IT团队也是这么做的： "我们采用最佳实践来确保物理服务器的安全，并将此照搬到每一台虚拟机上，"阿本尼认为。 通过强化操作系统，在每一台虚拟机上运行防病毒软件，确保补丁管理的及时升级并保持虚拟服务器与物理服务器上的流程同步。

3. 从你现有的安全工具入手，时刻保持审慎的态度

你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 没有这个必要。从你现有的安全工具（诸如目前物理服务器和网络设备所用到的工具）入手，将它们运用到虚拟环境中的做法会更有意义，赫夫说道。 但你要给厂商一点压力，让他们告诉你该如何密切留意虚拟化的风险，以及如何与其它产品同步前进。

"在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的认识"互联网数据中心的艾略特说道"市场上有些安全工具早就加入了虚拟化的概念。 这意味着你必须要给厂商更多的压力"。

"不要以为平台工具(比如VMware工具)对你来说已经足够"艾略特说道"你要把目光瞄向那些安全管理厂商。 给那些管理厂商多一点压力，让他们去多做一些，并为他们提供指引"。

马自达北美公司的首席信息官Jim DiMarzio就在他的企业中采用了这套战略。 如同Arch Coal公司一样，马自达北美公司在其虚拟服务器的核心上运行了VMware公司的ESX Server 3软件，并在最近增加了虚拟机的数量。 DiMarzio表示他希望在2008年3月前拥有150台虚拟机。他使用虚拟服务器来作为活动目录服务器、打印服务器、客户关系管理应用服务器和网络服务器 - 最后这项应用最具关键性，因为马自达使用这些网络应用来向其所有的经销商提供信息，DiMarzio说道。

为了保障这些虚拟机的安全，DiMarzio决定继续使用他现有的防火墙和安全产品，包括IBM公司的Tivoli Access Manager, 思科公司的防火墙工具（firewall tools），以及赛门铁克软件公司的入侵检测系统监控工具（IDS monitoring tools）。

在Arch Coal公司，阿本尼与他的团队也是坚持使用他们现有的安全工具，还有BlueLane 公司和虚拟化安全厂商Reflex Security公司的调研工具。"那些安全与变革厂商都在努力迎头赶上"阿本尼说道。

举例来说，BlueLane公司就宣称，他们的补丁仿真产品虚拟盾VirtualShield（针对VMware产品的虚拟设备版）甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全，自动扫描潜在的问题，对问题区域进行升级并保护它远离远程威胁的侵害。

虚拟化安全厂商Reflex Security公司的Virtual Security Appliance (VSA)也是少数需要引起关注的产品之一，它对虚拟入侵检测系统(IDS)尤其有用，在虚拟机所在的物理服务器中为其添加了安全协议层。 这可以防止系统管理程序免遭攻击同时避免将来可能产生的麻烦。阿本尼的团队表示。

阿本尼表示他的IT团队也讨论了添加第二个内部防火墙来进一步隔离虚拟机的事宜，但他担心这会对虚拟化应用软件的使用造成影响。

互联网数据中心的艾略特表示还有一些其它的虚拟化安全工具值得IT管理部门去关注： 比如PlateSpin就是一款著名的从物理机到虚拟机的工作负载转换和管理工具; Vizioncore是一款文件层次备份工具; Akorri是一款绩效管理和工作负载平衡工具; 而最近被戴尔公司收购的存储厂商EqualLogic以其iSCSI储存区域网络(SAN)产品来优化虚拟化而闻名。
4. 充分了解嵌入式管理程序的价值

或许你早已听说过"嵌入式"管理程序，这是IT管理人员必须了解的词汇。 服务器上的管理程序层是虚拟机的根基所在。 VMware公司近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的，不包含操作系统的应用。 (没有操作系统也就意味着没有操作系统维护上的麻烦)

像戴尔公司和惠普公司等硬件厂商近期都表示他们会在服务器出货时预装这种嵌入式VMwareHypervisor。 基本看来，嵌入式管理程序因为相对较小，所以更安全，互联网数据中心的艾略特表示。 "代码库越大，受攻击的可能性也越大，这由你选择的体系架构而定。"

嵌入式管理程序将会成为未来的一大发展趋势，艾略特表示，越来越多的服务器厂商会使用它们，有些厂商以前不使用的也会使用它们。美商凤凰科技公司（Phoenix Technologies）是一家BIOS软件领域的龙头厂商，近期它宣布加入管理程序的阵营，第一款产品将命名为HyperCore： 这是一款针对桌面型和笔记本电脑的管理程序，它能让用户在开机后就能使用网页浏览器和电子邮件客户端，而不需等到启动windows操作系统以后再这么做。 (HyperCore将会被嵌入到电脑的BIOS中。)

管理程序市场的竞争与创新对企业来说未尝不是一件好事，赫夫说道。 它能激励厂商争相提供体积更小、更为智能的管理程序软件。

"不管它是凤凰科技公司还是其它厂商，这场有趣的战争都会带领管理程序成为下一个卓越的操作系统"赫夫说道。

降低受攻击的可能性并非嵌入式管理程序的唯一强项。马自达公司的IT管理小组正期待即将到来的预置了VMware ESX server的戴尔服务器，马自达公司的IT系统经理Kai Sookwongse表示"我们所期待的功能之一是所有的虚拟机映像都能在存储区域网络上展现，当我们启动服务器时，它能从存储区域网络的映像上启动。这种集中管理与安全的方式也意味着马自达公司能够订购一台没有硬盘的服务器，从而达到物理安全的目的，他强调说。

5. 不要给虚拟机盲目指派过度的权限

务必牢记，在你对虚拟机指派管理级别的访问权限时，你就等于授权访问那台虚拟机的所有数据。 伯顿集团的沃夫建议你仔细斟酌管理人员需要哪些备份帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的，沃夫补充道。 "这些厂商甚至连自己没有遵照VMware公司关于VMware整合备份的最佳实践来执行"。

Arch Coal公司就对所有的虚拟机设置了管理访问权限，该公司的信息安全管理员保罗.泰利表示他的同事汤姆.卡特以及Carter的上司是公司中为数不多的拥有最高权限的管理小组成员之一。

应用开发员的访问权限要尽量降低。 "我们要么降低应用开发人员的访问权限，要么让他们进行共享访问，控制他们对操作系统的访问权限"Carter说道。 这帮助公司控制了虚拟机的增长速度，同时提高了虚拟机的安全系数。

6. 对供应存储多加观察

某些企业如今在存储区域网络上的存储使用有些过度，沃夫说。这不是总体存储量太多的问题，而是你有可能让一台错误的虚拟机共享了部分的存储区域网络，他说。

如果你使用的是VMotion，那么你就等于在存储区域网络上分配了部分区域。你要使那些储存分配更加区位化，沃夫建议道。 N-port ID虚拟化就是一种可以让IT分配存储到虚拟机上的技术，这是一种值得深入研究的技术，沃夫说道。

7. 在网络分区中确保良好的隔离

随着虚拟化在企业中的广泛运用，他们不该忽视网络流量上与安全有关的风险。 但某些风险的确容易被大家忽略。尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。"许多企业仅仅使用性能作为度量方式来加强整合"沃夫说道。 (在评估定位哪些应用服务器在物理机中作为虚拟机的时候，IT团队趋向于先注重那些急用的应用服务器，因为他们不想让一个物理服务器承担太多的工作负载) "他们之所以会忽略这一点，是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起，"沃夫说道。

比方说，某些首席信息官决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写，这是一个储存外部服务到互联网的子网络，就像电子商务服务器那样，在互联网和局域网之间增加一个缓冲)。如果你在DMZ中有虚拟机，那么你或许要将它们划分到物理分隔的网络分区中，使它与其它系统分隔开，比如某种关键的甲骨文数据库服务器，沃夫说道。

阿本尼说，在 Arch Coal公司，IT团队会在一开始就考虑到DMZ的因素。

他们在内部局域网中展开虚拟服务器，不面向公众。"这是早期一个关键的决定"阿本尼说道。比方说，该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器; 那就没有必要将虚拟机引入那块领域，他说。

8. 交换上的隐忧

"某些虚拟交换机如今被当网络中心来使用。在虚拟转换机中每一个端口都被映射到其它端口上"沃夫说道。"微软公司的虚拟化服务器就是这样。 而VMware公司的ESX Sserver则不会，思杰系统公司的 XenServer也不会。人们一听到‘交换机'就会认为有分隔存在。 其实它是根据厂商的不同而有所区别的"。

微软公司声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中得到解决，沃夫补充道。

9. 监控桌面系统与笔记本电脑上的"流氓"虚拟机

服务器并不是你唯一要担心的。"最大的隐患来自于客户端-流氓虚拟机"沃夫说道。什么是流氓虚拟机? 记住，你的用户能够下载并使用像VMware Player这样的免费程序，这能让桌面系统和笔记本电脑用户运行任何通过VMware工作站、服务器或ESX 服务器创建的虚拟机。

许多用户现在喜欢在桌面系统或笔记本电脑上使用虚拟机来区分工作，或区分公事与私事。有人使用VMware Player来运行多重系统; 比如使用Linux操作系统作为基本系统，但是在运行Windows操作系统时创建虚拟机。 (IT团队也能使用VM Player来评估虚拟化应用。)

"通常，这些虚拟机甚至都没有达到补丁级别"沃夫说道"那些系统被暴露在网络上。所有这些未被管理的操作系统都处于无人管理的状态"。

"这会给你增添很多风险"沃夫还表示那些运行流氓虚拟机的电脑也是病毒传播的始作俑者。更坏的是，它会将病毒传播到你的物理服务器网络上。比方说人们可以很轻松地装载一个DHCP服务器来发送假的IP地址。最终你将浪费大量的IT资源来追踪这些问题，"它甚至只是由一个简单的用户错误所引起的。"