网络架构因虚拟化而产生质变，在实施服务器虚拟化监时，如何保障网络架构的安全？

网络架构是服务器虚拟化的过程中，变动最大的一环，也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前，企业可以在前端的防火墙设备上订立出多个非军事区(Demilitarized Zone，DMZ)，针对不同功能的服务器个别套用合适的存取规则进行管理，假使日后有服务器不幸遭到攻击，危害通常也仅局限在单一个DMZ区之内，不容易对于所有运作中的服务器都造成影响。
虚拟化之后，所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi，微软的Hyper-V)，或者经由“虚拟──实体”网卡之间的桥接(如VMware Server/Workstation，微软的Virtual Server/PC)，与外部网络进行通讯。在这种架构之下，原本可以透过防火墙采取阻隔的防护就会消失不见，届时只要一台虚拟机器发生问题，安全威胁就可以透过网络散布到其它的虚拟机器。
要解决上述问题的最简单做法，就是在每一台虚拟机器上都安装防毒软件，以及其它种类的资安产品。不过如此一来，却又可能衍生出一些管理上的疑虑，例如应用程序与资安产品之间的兼容性问题即同样可能在虚拟机器的环境下发生。
此外，虚拟机器安装资安产品后的运作效能，也值得企业加以注意，过去在一台实体主机上安装防毒软件，几十MB的内存使用量不会是太大的问题，但是在虚拟化的环境下，多台虚拟机器累积下来，就可能占用到相当可观的硬件资源，因此需要寻求其它做法加以因应解决，才能做好虚拟平台上的安全控管。

亮晶晶  发表于: 2009-11-04