保护数据和更好地理解安全控制

　　由于虚拟机镜像里主要是数据——程序代码存储在某地的硬盘上——这些文件必须受到保护。“你肯定不希望看到某人将整个服务器放在一块USB硬盘上带出去Jordanm说。”她说，凤凰城市政府利用物理安全、网络存储访问控制和文件完整性监控等手段的相互结合来保护虚拟机镜像。

　　六旗公司则是将这些镜像放在受保护的网络存储区域中。“这些NFS安装盘是严格禁止任何人共享的。你也不可能去拷贝文件，因为在我们的环境中是不可能让你安装U盘的，”Nowell说。

　　RSA Security的Baize说，IT高管还需重新考虑其数据泄漏防护措施。除了制定策略，决定虚拟机在何种状态下可以访问何种数据之外，这些策略还必须是以数据为中心的。“你可以制定策略说，这个敏感数据不能跑到这台虚拟机上去。但你不能因此而对虚拟机上的数据从何而来不再关心——这纯粹是就事论事的策略。虚拟化正好是让我们重新思考如何做安全的一次机会。”

　　更好地理解安全控制

　　要保障虚拟基础设施的安全并非只是购买更多的工具，Baize说。“今天已经有了很多可用于控制虚拟基础设施的办法。我们所缺少的是了解怎么控制，以及何时进行控制。”

　　创建安全的虚拟基础设施的最佳办法就是从项目之初便引入IT安全或者让安全咨询师参与进来。Gartner估计，多达40%的IT组织并没有在虚拟基础设施部署之时引入IT安全的概念，都是在系统已经建好并上线之后才开始考虑安全问题的。这种有问题的做法在更多的关键任务应用开始向虚拟机迁移时表现得尤为明显。“一旦你要开始对SharePoint、Exchange或ERP进行虚拟化时，你实际上就已经进入敏感数据了。这就会出现安全问题，”Gartner的MacDonald说。

　　到了这个时候，一些组织才开始想到要给系统加上安全门闩，而这本来应该是在设计之初就应该考虑到的事情。事后修改设计肯定是要付出更高成本的。“CIO们应该确保在设计此类体系架构时有高管全程参与，”MacDonald说。

　　Rent-a-Center的Condit认为，一切皆可归结为策略。“如果没有及时制定强有力的安全策略，那么虚拟基础设施很快就会暴露出各种弱点，这是肯定会发生的事情，”他说，因为创建虚拟服务器的过程非常快，而且将它们在各个物理服务器之间进行迁移又非常容易。

　　CIO们对虚拟化安全表示担忧是正常的，Condit说。“某种健康程度的疑神疑鬼怎么说也是件好事。”