看不见的网络

　　虚拟机之间的网络流量是安全专家们所担心的另一个问题，因为入侵检测和入侵防御系统、防火墙和其他监控工具都无法告诉你这些虚拟机是不是在同一台物理服务器上运行的。“我把数据包嗅探工具放在虚拟服务器上，但是在物理网络的界面上，却看不出有任何流量在进进出出。那么这些流量是如何发生的呢？它们走的是安全的通道吗？”凤凰城市政府的高级安全工程师Vauda Jordan说。虽然该市对虚拟基础设施投入了相当多的资金，但Jordan既没有谈论虚拟基础设施的技术或实施范围，而是谈到了不少有关安全方面的担忧。

　　“我更信任防火墙而不是hypervisor。”

　　——凤凰城市政府高级安全工程师Vauda Jordan

　　利用ESX服务器和其他主要的虚拟化平台，虚拟机之间所通过的数据是不加密的，各虚拟机在使用VMware的vMotion工具在不同物理主机间迁移时是处于内存状态的(VM盘文件本身仍然在同一个共享存储设备上)。VMware负责产品营销的高级经理Venu Aravamudan说，“在我们的路线图/规划执行中，加密是要主动加以考虑的，”但他拒绝评论VMware的产品是否要增加加密功能，以及何时增加等问题。

　　Aravamudan称，如果执行了最佳实践，那么加密“就不是什么大问题”。最佳实践会要求vMotion流量与生产流量完全隔离。但他也承认，“中间人攻击从理论上讲是有可能的，”尤其是因为虚拟服务器实例可能会在各个数据中心间迁移，而不只是在一个物理场所内迁移。

　　像VMware的vShield和其他第三方工具等产品可以创建虚拟防火墙将VMware、XenServer、Hyper-V和其他虚拟机彼此隔离在不同的安全区域中，但是并非所有的组织都已实施了这种隔离。例如，创建不同的安全区域就不是Rent-a-Center关注的大事。但是随着虚拟基础设施的不断扩展，这种隔离就会成为必须，Condit说。

　　Rent-a-center依然采用物理隔离虚拟机的方法，也就是将属于每一功能组合的虚拟机驻留在不同的物理服务器上。这种方法的缺点是当虚拟设置增长得很大的，难以维护，而且会限制虚拟化所提供的整合优势。Rent-a-Center的Chanani说，在某些场合下，一个刀片服务器机箱内只插了一块刀片。“这样做，成本很快就会变得极其高昂。这也就是我们为何正在谈论如何重新改造，设置虚拟防火墙的原由了，”他说。

　　有些现有的防火墙工具可以看见虚拟服务器流量，但在其他场合下，IT人员需要另外增加一组虚拟化工具，但这又会增加管理的复杂性。Gartner的MacDonald说，最好的办法是有一套能够跨越物理和虚拟环境的工具。然而，除非传统的安全工具厂商追赶上来，否则企业的IT部门就只能用一些不知名厂商如Altor网络、Catbird网络和HyTrust等公司的工具，这些工具为了适应虚拟机的需要而做了剪裁。

　　IBM的Lovejoy认为，近期来看，混合的工具环境不可避免。“必须要让这些厂商有和我们的战略相一致的战略路线图，”他说。“否则你就只能拥有短命的单独的工具了。”