虚拟化由于其带来的维护费用的大幅降低而受到追捧，如能减少服务器占用空间，降低购买软硬件设备的成本，大幅度提高系统的利用率。然而对其安全问题，人们也一直在争论不休，一方观点认为虚拟化技术能有效提升系统的安全性，而另一派观点则是虚拟机带来了很多安全方面的隐患。

“虚拟化并没有为整个系统带来安全漏洞或者增加安全的复杂性，在虚拟化环境中，如果虚拟化本身不去做安全的加强，其安全机制和传统物理服务器是一样的，在传统物理服务器用什么样的办法去做安全，在虚拟环境里仍然可以用什么样的方法去做，就可以达到和物理服务器一样安全。”VMware公司大中华区技术总监张振伦这样对记者说到。

VMsafe安全模块增强系统安全性

他还指出，VMware还增加了很多安全模块，其中的两个是VMsafe和vShield Zones，这两个安全模块实际上进一步增加了虚拟环境下的安全性，除了在给传统环境下部署安全以外，在虚拟环境下启用VMsafe和vShield Zones这两个功能，会发现你的安全性应该比传统的环境更好，而不是降低了。

一般来说，病毒和入侵是安全系统里重要的防范内容，当我们在构建系统的时候会走到一种悖论里，比如一般我们的逻辑是服务器要去做防病毒和入侵，那么服务器本身就要去装一种软件，大多数这都是一些软件解决方案。其实防病毒、防入侵和病毒、入侵这两个东西是站在一个平面上来PK的，如果说防病毒软件胜出，最后这个病毒就被杀死；如果病毒最终胜出，那么系统就陷入瘫痪。

“就好比说，我们常玩的警察和小偷的游戏，如果说今天我们在现实生活中都用这种方式来做安全的话，你会发现不见得大多数的警察都能追上小偷，那么最终就会给社会带来很多安全隐患。而在现实生活中都有一些机制，比如，所有的警察都允许配枪，甚至有的可以配直升机，那么有了这些更多先进的工具和装具就可以确保系统的安全。”张振伦给记者举了一个很浅显易懂的例子。

那我们反过来想想，为什么不在防病毒和入侵方面，直接给软件本身开一个后门，让其具有更多的装备，在抓捕小偷的过程中更容易胜出。VMsafe就是解决防病毒和入侵的，它提供了一个API接口，在传统的操作系统下面，也就是在VMware的虚拟化层，就其入住的位置来说，提供了更高更广泛的视野去监控病毒和入侵，及时拦截在外，因此安全性是得到了进一步提升的。

“VMsafe提供的只是一个API接口，VMware不是安全领域的专家，因此不会专门做一套安全软件出来，截止到目前为止，这个API接口已经被安全领域的主流厂商广泛接受，包括象checkpoint、趋势科技、赛门铁克、 McAfee等等，他们都已经推出了基于VMsafe做出来的安全软件，现在都可以从这些厂商手里买到。这实际上就是，在虚拟平台上进行安全增强的一个案例。而未来，随着技术的推广和业务的发展，会和更多国内厂商来进行合作。”

做规划时要把虚拟化因素考虑在内

虚拟化毕竟对整个IT架构发生了一个极其复杂和巨大的变化，在这个变化当中，所有的传统的安全策略的定制都应该考到虚拟化这个因素的存在，思考如何更紧密和有效的对虚拟化进行整合。从传统的角度来看，虚拟化本身不需要对现在的管理软件做多大的变化，但是建议用户在进行架构设计的时候应该把虚拟化作为一个考量的因素，毕竟虚拟化让一台服务器上跑了很多应用，让应用本身具有了更多的灵活性，而这些灵活性要能够跟现有的安全策略去做匹配。

张振伦说到，在接触的国内用户中，一些小型企业，比如100个虚拟机以下，本身没有很复杂的安全架构，部署起来都比较简单，所以看起来不是那么的明显。但是到上千个虚拟机以上的大型企业，在部署的时候，他们就会考虑安全部门、存储部门、设备部门和安全应用部门这些部门之间的协同，大家都意识到系统发生了虚拟化这样的变革，对他们部门的管理和安全策略设计可能会带来的影响，这些问题都会放到一起集中考虑，这是一个叫“虚拟化技术规划和设计”的过程。

VMware张振伦强调到，传统的安全策略比如防火墙、加解密等措施，如果能配合VMsafe一起去使用，将会使整个系统更安全。

来源：畅享网