什么是虚拟化安全？

虚拟化是对通常称为虚拟机 (VM) 的物理计算机的软件模拟。虚拟机由位于虚拟机和物理硬件或操作系统之间的虚拟机管理程序服务运行。虚拟机管理程序的一个典型示例是 Microsoft 的 Hyper-V 技术。Virtualized Security 是一种基于软件的灵活系统，可为虚拟机提供安全保护。虚拟安全系统可以保护这种复杂的操作环境，以便虚拟机管理程序、操作系统和每个虚拟机都可以在自己的环境中运行，并免受恶意威胁。

安全虚拟化的工作原理是什么？

虚拟安全软件复制了传统基于硬件和软件的服务器的功能，以及防火墙、入侵防护和反恶意软件等计算机安全系统。软件派生的虚拟化安全服务在虚拟机管理程序层运行，可保护每个虚拟机。此保护进行了扩展，以包括虚拟终端和其他包含用户和计算机的软件定义接口。

虚拟安全在虚拟环境中执行的功能与物理安全软件在物理环境中执行的功能类似。这包括需要保护分层和更复杂的虚拟机系统。 虚拟机使用软件定义的 CPU、服务、RAM 和硬盘，但最终仍然共享主机或服务器的物理组件。此外，每台虚拟机（也称为来宾机器）必须与其他虚拟机分开。虚拟化安全功能使用各种安全控制（包括加密和微分段）来实现此分离并限制潜在攻击。

安全虚拟化的类型

虚拟化可以对系统和应用程序进行分段和分离，因此是降低安全风险的有效方法。安全虚拟化是一种沙盒技术，其中虚拟机相互隔离，并单独防范病毒、外部恶意软件和其他威胁。其他类型的虚拟化包括：

• 服务器虚拟化
• 桌面虚拟化
• 存储虚拟化
• 网络虚拟化
• 应用程序虚拟化

服务器虚拟化

服务器虚拟化是指将服务器划分为多个虚拟服务器或计算机，每个虚拟机将独立于主服务器运行。除了更高效地利用物理资源之外，服务器虚拟化的主要优势是将每个虚拟机与其他计算机和物理环境隔离，从而限制已破坏应用程序的影响。服务器虚拟化通常使用一个替换服务器操作系统的第 1 类裸机虚拟机管理程序。

桌面虚拟化

桌面虚拟化的概念与服务器虚拟化类似，不同之处在于它指的是创建虚拟桌面计算机。这样，用户就可以从任何位置登录其计算机。文件和数据在服务器（而非便携式设备上）受中央安全层的保护。

存储虚拟化

存储虚拟化是指创建虚拟存储服务器及其关联的虚拟硬盘。这种方法允许用户以不同的格式存储数据，并帮助 IT 管理员更轻松地保护数据、管理日常备份并在服务器发生故障时组织灾难恢复（DR）流程。

网络虚拟化

与虚拟专用网络（VPN）类似，网络虚拟化将物理和虚拟资源组合在一起，以创建虚拟企业网络。网络虚拟化可以通过 Internet 从任何位置将用户和设备连接到专用且安全的网络。功能包括虚拟防火墙、入侵防护和负载均衡。

应用程序虚拟化

应用程序虚拟化允许用户在与软件所在位置分开的计算机上运行应用程序。通常，应用程序虚拟化与操作系统无关，因此软件应用程序可以在任何计算机上运行。这允许管理员集中更新和修补应用程序，并控制用户应用程序权限。虚拟化应用程序集中存储用户和系统数据，以便更轻松地保护数据。

虚拟化安全性的优势

虚拟化安全解决方案可帮助管理员处理虚拟网络的复杂性。与传统的物理安全措施相比，它们是更好的解决方案，因为它们更灵活、更易于实施。优势包括：

• 成本效益：与昂贵的物理硬件和特定于设备的安全软件解决方案相比，实施虚拟安全解决方案更便宜。
• 灵活性：管理员可以轻松扩展虚拟安全软件，以满足不断变化的要求，并在多个物理和混合数据中心中使用该软件。
• 更出色的数据保护：借助现代数据保护技术，您可以更轻松地保护数据免遭攻击，并从数据丢失或损坏中恢复数据。
• 提高运营效率：与需要单独配置的物理系统相比，集中式虚拟安全解决方案可以更轻松、更快速地跨网络部署。
• 法规遵从：只有虚拟化安全系统才能满足使用虚拟和基于云的系统的组织的法规遵从需求。

虚拟化安全的风险

尽管虚拟化环境具有诸多优势，但额外的复杂性层会增加总体风险。由于您可以轻松迁移工作负载和应用程序，因此，您更有可能无法跟踪关键应用程序并在较不安全的环境中运行它们。创建虚拟机很容易，除非对其进行仔细编目和管理，否则用户可能会遇到大量未使用和保护不力的虚拟机，从而增加整体漏洞。为虚拟机创建的未使用的防火墙端口是黑客可以利用的另一个风险。虚拟机管理程序层是单个故障点，在该位置进行的成功攻击可导致整个系统瘫痪。

物理安全性与虚拟安全性

物理安全依赖于基于硬件的保护。对于公司网络，这包括使用路由器和防火墙来保护网络接入点。物理安全虽然有效，但本质上是不灵活的。无论是对物理组件进行更改，还是对安全软件进行更改，管理员都必须逐一进行更改。物理解决方案在虚拟环境中无效，因为虚拟环境的网络边界可能会动态变化。

虚拟安全系统是集中式的，任何更改都将应用于整个网络。创建新虚拟机时，系统将自动应用相应的安全协议。隔离网络上的工作负载以防止未经授权的访问、对特定工作负载应用安全策略以及对流量和资源进行分段是一个简单的过程。与物理网络相比，在虚拟系统上管理用户访问和权限更简单。

选择合适的虚拟化安全方案

您应该选择哪种虚拟化安全类型取决于多种因素，包括您的系统是否为混合系统、您使用的虚拟机管理程序解决方案类型以及您组织的具体需求。要考虑的其他功能包括可用的保护类型以及系统遭到入侵时应采取的措施。

虚拟机管理程序的类型对虚拟安全系统的可用选择数量进行了一些限制。例如，如果您拥有 VMware ESXi 虚拟机管理程序，则可以选择在虚拟机管理程序级别运行的无代理安全软件解决方案。无代理解决方案对虚拟机的影响极小，应用普遍且易于更新。或者，其他虚拟机管理程序类型（如 Microsoft Hyper-V、Azure 或 Citrix 虚拟机管理程序）可能需要使用安装在每个虚拟机上的小型代理的安全解决方案。虽然这可能会影响性能，但与无代理解决方案相比，占用空间较小的代理通常具有额外的功能。

启用流程

无论您是已经实施了虚拟机解决方案，还是正在考虑实施虚拟机解决方案，您都应该评估现状并仔细规划前进方向。在安装虚拟机安全解决方案之前，请确保虚拟机尽可能安全。需要考虑的要点包括：

• 更新所有固件、操作系统和软件
• 验证并记录用户和管理员的权限
• 定义和实施用户策略
• 加密所有网络流量
• 保留所有虚拟机的注册表并删除未使用的注册表
• 安装合适的无代理或占用空间较小的防病毒软件和恶意软件

另一个需要考虑的重要因素是备份和数据保护，因为网络攻击和勒索软件攻击的发生率正在上升。

在发生自然或人为灾难时， Veeam Data Platform 的企业级备份和灾难恢复解决方案可确保业务连续性，帮助您在遭受攻击后快速恢复正常运行。请联系 Veeam ，详细了解我们的产品。