我在编撰下一本书的过程中，对虚拟化安全性做了调查，发现很多系统管理员都在某些共同方面无意识地破坏了他们的计算架构的安全性，导致了可能受攻击的漏洞。这些问题涵盖了不恰当的网络到过分信任SSL和VLAN技术等一系列方面。这里，我将列举我发现的最普遍的十大问题。

　　1.虚拟化管理员不是安全性管理员

　　虚拟化管理员既不是安全性管理员，也不时常听取安全性管理员的意见或和他们协商。要解决这个问题，可以给安全性管理员培训一些虚拟化的知识，同时也给虚拟化管理员一些安全性方面的培训。

　　2.虚拟服务器的管理设备处于保护不当或未受保护的网络中

　　我曾经在英特网、生产和DMZ网络上发现过服务控制台。服务控制台和所有的管理工具是应该放在自己的管理网络中的，而不能到处随便放。

　　3.绝对信任SSL

　　SSL并不是绝对安全的，有一种针对SSL的攻击可以在两秒钟之内轻松攻破SSL。不要以为SSL足够安全。除非使用了预共享证书，否则它就会有风险。如果你一定要使用基于SSL的管理工具，就在管理网络中使用这些工具，在管理网络中你可以信任网络中的用户。另外，从外部网络接入管理网络时，使用好一点的VPN。

　　4.误以为虚拟机是安全的环境

　　隔离区（DMZ）的虚拟机或其它面向Internet的虚拟机不是一个安全的环境，但是对于虚拟化来说所有虚拟机都是危险的。对一个虚拟机的攻击永远不应该直接或间接指向虚拟主机。

　　5.NFS和iSCSI存储网络没有与其它网络分开

　　NFS、iSCSI和SAN存储都是采用明码传输数据，这就意味着磁盘数据可能被其它用户读取。如果一个虚拟机从用于存储虚拟磁盘的存储网络载入了一个iSCSI对象，那么这就有可能成为一个攻击点。

　　6.VirtualCenter放在管理网络之外

　　尽管VMware ESX有防火墙保护，但VirtualCenter是在防火墙之外的，它应该和虚拟主机一样受到保护。利用VI Client、Remote CLI或SDK对VirtualCenter或主机的访问都应该只能来自管理网络内部。

　　7.存在额外的服务控制台端口

　　连接NFS服务器与ESX时，会创建一个服务控制台端口。这是一个错误，iSCSI需要的是服务控制台的参与，而不是ESX。服务控制台应该通过路由器、网关访问存储网络，最好是通过防火墙。因为，没增加一个服务卡控制台端口，当前的攻击向量（attack vectors）就会增加一倍。

　　8.服务控制台放在DMZ或不安全环境

　　这是大家的一个通病，服务控制台绝对不应该放在不安全的环境中。这包括Internet或DMZ。

　　9.误以为VLAN会保护网络

　　尽管使用vSwitch可以防止由虚拟机发出的VLAN攻击和对虚拟机的攻击，但使用虚拟化不会阻止来自虚拟主机之外的VLAN攻击。你需要非常好的交换硬件来阻止大多数有名的VLAN攻击。VLAN RFC并不意味着VLAN是可以保障安全性。而且，使用VLAN还会导致线缆中的数据混杂（data co-mingling）。

　　10.不了解hypervisor中的安全性

　　如果你不了解hypervisor的安全性，你将很难清楚如何保护好你的虚拟化环境。

　　这十大问题决不是仅有的安全性问题，只是最具代表性的问题。不久前，我向VMware公司讨教了28个安全性问题，请他们做出评论和回答，只有两个问题我没有得到答案。所以，我建议大家向值得信赖的人或机构询问自己所有不清楚的安全性问题，以便为自己的环境建立最好的安全性。总之，安全性决不应该是一个可有可无的附带考虑，而是至始至终都应该慎重对待的一部分。

　　关于作者：Edward L. Haletky是企业级VMware ESX Server方面的作者：Planning and Securing Virtualization Servers。他最近离开了惠普公司，以前他在虚拟化、Linux和高性能计算部门里工作。Haletky自己拥有AstroArch Consulting公司，他还是VMware社区论坛的拥护者和版主。