企業虛擬化安全防護建議

　　在企業實際的虛擬化應用過程中，需要遵循如下一些有效的建議：
　　· 如果有的話，用戶應該確認雲平台供應商使用的虛擬化類型；
　　· 實施者應該考慮通過分區的方式將生產環境與測試/開發以及高度敏感數據/業務分離；
　　· 由於性能差異很大，實施者在測試和安裝虛擬機安全工具時應該考慮性能問題。考慮具有虛擬化感知能力的服務器和網絡安全工具也同樣重要；
　　· 在虛擬化的環境中用戶應該與主要的供應商評估、協商並且完善許可協議；
　　· 通過在每個訪客實例中采用硬化軟件或者具有基於Hypervisor的API的內嵌虛擬機，實施者應該保障每個虛擬化的操作系統的安全；
　　· 虛擬化的操作系統應該附加內置的安全措施，充分利用第三方安全技術實現分層的安全控制，減少對平台供應商的單純依賴；
　　· 施者應該確保在默認配置下安全措施達到或者超過現行業界基准水平；
　　· 實施者應該對不在使用中的虛擬機鏡像進行加密；
　　· 通過在分離的物理硬件諸如服務器，存儲等設備上標識數據的應用（比如桌面vs.服務器），生產階段（比如研發，生產，以及測試）和敏感度，實施者應該探尋對虛擬機的隔離和建立安全區的效果和可行性；
　　· 實施者應該確保安全漏洞評估工具和服務能覆蓋到所采用的虛擬化技術；
　　· 實施者應該考慮在整個組織內采用數據自動發現和標簽方案（比如DLP數據洩露保護），以此增加虛擬機和環境間的數據分類和控制；
　　· 實施者應該考慮對非工作狀態的虛擬機鏡像進行補丁操作或者對剛剛運行的虛擬機采取其它保護措施，直到他們被打上補丁；
　　· 實施者應該明白在虛擬機的外部采用何種合適的安全控制來保護面向用戶的管理接口（例如基於Web或API的）；
　　· 必須采用內嵌於Hypervisor API的虛擬機特定安全機制對虛擬機背板間的流量進行細粒度監控，（這些流量）對於傳統的網絡安全控制是不可見的；
　　· 為了應對虛擬化帶來的新的安全挑戰，實施者必須更新安全策略；
　　· 實施者必須通過基於策略的密鑰服務器對虛擬機訪問的數據進行加密，存儲密鑰的服務器與虛擬機和數據隔離；
　　· 用戶必須意識到虛擬機處於多租戶環境下，監管可能要求保證虛擬機的隔離；
　　· 用戶必須驗證來自任意第三方的虛擬機鏡像或者模板的來源和完整性，或者更好的話建立自己的虛擬機實例；
　　· 虛擬化的操作系統必須包含防火牆（入口/出口）、主機入侵防御系統（HIPS）、網絡入侵防御系統（NIPS）、web應用保護、防病毒、文件完整性檢測以及日志檢測等。安全對策可以通過每個訪客虛擬實例或者具有基於Hypervisor的API的內嵌虛擬機中的軟件來傳遞；對虛擬機個體實施適當的加固和保護包括防火牆（入站/出站），主機入侵防御系統（HIPS），網站應用層保護，防病毒，文件完整性監控和日志監控等都可透過軟件向每個虛擬機客戶提供，或利用內嵌的虛擬機與基於Hypervisor API協同提供；
　　· 提供商刪除虛擬機鏡像時必須清空所有的備份和失效備援（failover）系統；
　　· 提供商必須具備報告機制。如果有隔離被突破時，報告機制可以提供隔離的證據並發出告警。