介绍：

• 1、云安全，究竟需要什么样的管理平台
• 2、服务器虚拟化服务和桌面虚拟化有什么区别呢？
• 3、如何应对系统虚拟化数据安全问题
• 4、如何配置虚拟主机:如何安全配置虚拟化

云安全，究竟需要什么样的管理平台

面对云安全，如何构建和管理“安全云”环境是当前服务商和用户面临的主要挑战。每一次数据丢失都可能导致企业和组织蒙受巨大的经济损失，包括无法为消费者提供服务导致收入降低、员工无法工作导致生产力下降、消费者和投资者满意度下降造成名誉损失、恢复系统成本支出增加等情况。面对不可预估的风险和故障，云服务提供商应该怎么做才能切实保障用户的数据，云服务商小鸟云针对这一问题，推出了国内独有的数据存储决绝方案--三层存储技术，解决数据丢失这一问题。我用的是小鸟云服务器，感觉挺好的。

服务器虚拟化服务和桌面虚拟化有什么区别呢？

虚拟化服务有服务器虚拟化和桌面虚拟化这两者有什么区别呢？ 服务器虚拟化： 概述Wi EV企业虚拟化 (WI EV) 是一款针对服务器和桌面虚拟化的完整虚拟化管理解决方案，是第一个成熟的、完全开源的虚拟化平台。它以强大的基于内核的虚拟机 (KVM) 系统管理程序和 oVirt 开放虚拟化管理平台为基础，两个项 目都由Wi EV发起并发布到开源社区。WI EV 较之专有虚拟化供应商，为寻求更佳总体拥有成本、更快投资回报率、迅速收支平衡和避免供应商锁定的提供了真正的策略虚拟化替代方案。 我们的核心产品Wi EV企业虚拟化 服务器版，由 WI EV Manager 管理系统和WI EV Hypervisor 组成，以虚拟客户机支持服务器操作系统。 Wi EV企业虚拟化桌面版作为附加组件提供，以虚拟客户机形式为桌面操作系统 提供支持，并且支持桌面管理功能。 适用于大规模的虚拟化和内部云部署 Wi EV企业虚拟化为企业提供了理想平台，此平台以大规模的虚拟化计划和内 部 / 私有云部署为基础。强大的基于内核的虚拟机 (KVM) 系统管理程序实现了创纪录的虚拟化基准结果以及无与伦比的整合比率。功能齐全的企业管理系统使客户能够集中且有效地管理他们的整个虚拟环境（如虚拟数据中心、群集、主机、客户机虚拟服务器、网络和存储器）。功能齐全、高可用性、动态迁移、策略式工作负荷平衡、映像管理、快照和精简配置。虚拟机操作系统支持Wi EV Linux 虚拟机（32 位和 64 位）和 Microsoft Windows 虚拟机（32 位和 64位）， 包括泛虚拟化网络和块驱动，Wi EV企业虚拟化的工程设计旨在支持整个 IT 架构。 大提高了利用率和灵活性将工作负荷从物理服务器转换至虚拟机，数据中心整合大大提高了计算机资源的利用率和灵活性且能更有效地利用能源和空间，同时降低了操作成本。在服务器硬件上节约的资金成本是您最大的收益，可将成本降低 40% 至 75%。另外，操作有益于节省空间和能源且能改善服务器持续管理。对于新服务器硬件，由于多种工作负载（运行在虚拟机上）能更有效地利用共享物理服务器，工作事半功倍。另外，虚拟机能够比物理服务器更快的进行配置。解决方案可置入高可用性和快速恢复能力，比物理服务器更能节约成本，有利于业务连续性。通过资源调度和策略驱动式工作负荷平衡，优化了整个虚拟架构，可更有效地维护。 Wi EV企业虚拟化 (WI EV) 是一款针对服务器和桌面虚拟化的完整虚拟化管理解决方案，是第一个成熟的、完全开源的企业虚拟化平台。它以强大的基于内核 的虚拟机 (KVM) 系统管理程序和 oVirt 开放虚拟化管理平台为基础，项目由 Wi EV发起并发布到开源社区。WI EV 较之专有虚拟化供应商，为寻求更佳总体拥有成本、更快投资回报率、迅速收支平衡和避免供应商锁定的企业提供了真正的策略虚拟化替代方案。 我们的核 心产品Wi EV企业虚拟化 服务器版，由 WI EV Manager 管理系统和WI EV Hypervisor 组成，以虚拟客户机支持服务器操作系统。 Wi EV企业虚拟化桌面版作为附加组件提供，以虚拟客户机形式为桌面操作系统提供支持，并且支持桌面管理功能。 关键优势 提高数据安全性 Wi EV企业虚拟化桌面版通过将桌面环境移至公司防火墙保护下的安全数据中心，帮助企业组织确保数据安全，并有助于减小盗窃的风险，符合严格的政府 法规和数据隐私法。 更低的基础设施成本 通过将桌面环境集中到数据中心，设置新的桌面环境、维护现有系统和监控桌面活动，一切只需单击几次鼠标便可实现。 提高可管理性 可对桌面环境进行集中创建、监控和管理，从而减少了对现场支持的需求，甚至不在需要现场支持。 建立业务连续性和数据敏捷性 通过消除对操作系统和硬件的依赖，桌面环境存在于隔离的便携式虚拟机，实现了在整个数据中心的移动。此外，桌面可轻松加入到数据中心备份计划，带来高水平的连续性。 提高应用和客户端灵活性 用户可在各种类型的客户端设备中访问多种操作环境。这为运行各种客户端的基于 Windows 和 Linux 的应用程序提供了应 用灵活性。 当为您的数据中心选择虚拟化平台时，您的架构和功能会受到产品功能的限制。 本文档通过和 VMware vSphere 5 及 Microsoft Hyper-V 2008 R2 相比较，详 细描述了Wi EV企业虚拟化 3.0 的功能。本文档旨在让您了解Wi EV企业虚拟化 (WI EV)，并让您比较不同的虚拟化平台之间的功能和优势。 比较显示 ：WI EV 3.0 功能集在核心功能上与 VMware 相匹敌，而在虚拟化上超过了 Microsoft Hyper-V 2008 R2，WI EV 服务器版的解决方案成本比VMware 节省了 80%。请参见《Wi EV企业虚拟化服务器版竞争定价指南》以了解详情。值得注意的是，与竞争对手不同，完整的 WI EV 服务器版功能集可通过单独、简单的订阅获得，与其他产品不同，WI EV 服务器版的功能并未细分于多个版本中，因此客户无需购买附加组件产品来获得附加功能。 VMware vSphere 5 和 Microsoft Hyper-V 2008 R2 的比较数据是从各个制造商的公开可获得数据中收集而来，Wi EV不对其作出担保，可能随时更改。请参阅相应制造商的网站以获得最新数据。 桌面虚拟化 Wi EV企业虚拟化 (WI EV) 是一款针对服务器和桌面虚拟化的完整虚拟化管理解决方案，是第一个成熟的、完全开源的企业虚拟化平台。它以强大的基于内核 的虚拟机 (KVM) 系统管理程序和 oVirt 开放虚拟化管理平台为基础，项目由 Wi EV发起并发布到开源社区。WI EV 较之专有虚拟化供应商，为寻求更佳总体拥有成本、更快投资回报率、迅速收支平衡和避免供应商锁定的企业提供了真正的策略虚拟化替代方案。 我们的核 心产品Wi EV企业虚拟化 服务器版，由 WI EV Manager 管理系统和WI EV Hypervisor 组成，以虚拟客户机支持服务器操作系统。 Wi EV企业虚拟化桌面版作为附加组件提供，以虚拟客户机形式为桌面操作系统提供支持，并且支持桌面管理功能。 关键优势 提高数据安全性 Wi EV企业虚拟化桌面版通过将桌面环境移至公司防火墙保护下的安全数据中心，帮助企业组织确保数据安全，并有助于减小盗窃的风险，符合严格的政府 法规和数据隐私法。 更低的基础设施成本 通过将桌面环境集中到数据中心，设置新的桌面环境、维护现有系统和监控桌面活动，一切只需单击几次鼠标便可实现。 提高可管理性 可对桌面环境进行集中创建、监控和管理，从而减少了对现场支持的需求，甚至不在需要现场支持。 建立业务连续性和数据敏捷性 通过消除对操作系统和硬件的依赖，桌面环境存在于隔离的便携式虚拟机，实现了在整个数据中心的移动。此外，桌面可轻松加入到数据中心备份计划，带来高水平的连续性。 提高应用和客户端灵活性 用户可在各种类型的客户端设备中访问多种操作环境。这为运行各种客户端的基于 Windows 和 Linux 的应用程序提供了应 用灵活性。 当为您的数据中心选择虚拟化平台时，您的架构和功能会受到产品功能的限制。 本文档通过和 VMware vSphere 5 及 Microsoft Hyper-V 2008 R2 相比较，详 细描述了Wi EV企业虚拟化 3.0 的功能。本文档旨在让您了解Wi EV企业虚拟化 (WI EV)，并让您比较不同的虚拟化平台之间的功能和优势。 比较显示 ：WI EV 3.0 功能集在核心功能上与 VMware 相匹敌，而在虚拟化上超过了 Microsoft Hyper-V 2008 R2，WI EV 服务器版的解决方案成本比VMware 节省了 80%。请参见《Wi EV企业虚拟化服务器版竞争定价指南》以了解详情。值得注意的是，与竞争对手不同，完整的 WI EV 服务器版功能集可通过单独、简单的订阅获得，与其他产品不同，WI EV 服务器版的功能并未细分于多个版本中，因此客户无需购买附加组件产品来获得附加功能。 VMware vSphere 5 和 Microsoft Hyper-V 2008 R2 的比较数据是从各个制造商的公开可获得数据中收集而来，Wi EV不对其作出担保，可能随时更改。请参阅相应制造商的网站以获得最新数据。 功能区别 当为您的数据中心选择虚拟化平台时，您的架构和功能会受到产品功能的限制。

如何应对系统虚拟化数据安全问题

但现实情况是，数据中心网络总是通过嵌入的防火墙实现主要的安全保护来减少暴力攻击造成的拒绝服务，对入站流量极少执行TCP端口过滤。 使用防火墙来保护数据中心网络的物理服务器已经很难了，把它用于保护虚拟服务器，或者私有云环境，那么难度会更大。毕竟，虚拟服务器会经常迁移，所以防火墙不需要必须位于服务器物理边界内。有几种策略可以为虚拟环境提供防火墙保护。 虚拟网络安全 传统数据中心架构的网络安全设计众所周知:如果服务器的物理边界属于同一个安全域，那么防火墙通常位于聚合层。当你开始实现服务器虚拟化，使用 VMware的vMotion和分布式资源调度(Distributed Resource Scheduler)部署虚拟机移动和自动负载分发时，物理定界的方式就失去作用。在这种情况下，服务器与剩余的网络之间的流量仍然必须通过防火墙，这样就会造成严重的流量长号，并且会增加数据中心的内部负载。 虚拟网络设备能够让你在网络中任何地方快速部署防火墙、路由器或负载均衡器。但当你开始部署这样的虚拟网络设备时，上述问题会越来越严重。这些虚拟化设备可以在物理服务器之间任意移动，其结果就是造成更加复杂的流量流。VMware的vCloud Director就遇到这样的设计问题。 使用DVFilter和虚拟防火墙 几年前，VMware开发了一个虚拟机管理程序DVFilter API，它允许第三方软件检查网络和存储并列虚拟机的流量。有一些防火墙和入侵检测系统 (IDS)供应商很快意识到它的潜在市场，开始发布不会出现过度行为的虚拟防火墙。VMware去年发布了vShield Zones和vShield App，也成为这类供应商的一员。 基于DVFilter的网络安全设备的工作方式与典型的防火墙不同。它不强迫流量必须通过基于IP路由规则的设备，而是明确地将防火墙插入到虚拟机的网卡(vNIC)和虚拟交换机(vSwitch)之间。这样，不需要在虚拟机、虚拟交换机或物理网络上进行任何配置，防火墙就能够检测所有进出vNIC 的流量。vShield通过一个特别的配置层进一步扩充这个概念:你可以在数据中心、集群和端口组(安全域)等不同级别上配置防火墙规则，在创建每个 vNIC的策略时防火墙会应用相应的规则。 并列防火墙自动保护虚拟机的概念似乎是完美的，但是由于DVFilter API的构架原因，它只能运行在虚拟机管理程序中，所以它也有一些潜在的缺点。 虚拟机防火墙的缺点: 每一个物理服务器都必须运行一个防火墙VM.防火墙设备只能保护运行在同一台物理服务器上的虚拟机。如果希望保 护所有物理位置的虚拟机，那么你必须在每一台物理服务器上部署防火墙VM. 所有流量都会被检测。你可能将DVFilter API只应用到特定的vNIC上，只保护其中一些虚拟机，但是vShield产品并不支持这个功能。部署这些产品之后，所有通过虚拟机管理程序的流量都会被检测到，这增加了CPU使用率，降低了网络性能。 防火墙崩溃会影响到VM.防火墙VM的另一个问题是它会影响DVFilter API.受到影响的物理服务器上所有虚拟机网络都会中断。然而，物理服务器仍然可以运行，并且连到网络;因此，高可用特性无法将受影响的VM迁移到其他物理服务器上。 相同流量流会执行多次检测。DVFilter API在vNIC上检测流量。因此，即使虚拟机之间传输的流量属于同一个安全域，它们也会被检测两次，而传统防火墙则不会出现这种情况。 虚拟交换机在虚拟化安全中的作用 虚拟化安全设备制造商也可以选择vPath API，它可用于实现自定义虚拟交换机。思科系统最近发布了虚拟安全网关(Virtual Security Gateway ，VSG)产品，该产品可能整合传统(非DVFilter)虚拟防火墙方法和流量流优化技术。思科宣布VSG只进行初始流量检测，并将卸载流量转发到虚拟以太网模块(Virtual Ethernet Modules，VEM:虚拟机管理程序中改良的虚拟交换机)，从而防止出现流量长号和性能问题。

如何配置虚拟主机:如何安全配置虚拟化

Exactech的网络管理员Craig Bush表示：“之所以我们暂时不考虑采用服务器虚拟化技术就是因为我听说了虚拟管理器可能带来的安全风险。” 以下是目前人们在虚拟环境下最为关注的四个安全问题：1、虚拟机可能带来的安全问题 IT经理们担心针对虚拟机的安全攻击可能会影响到在同一主机环境下的虚拟机。如果一台虚拟机可以“避开”他所处的独立环境而与配套的虚拟管理器协同工作的话，那么攻击者就无法攻进管理其他虚拟机的虚拟管理器，也就不必专门针对保护虚拟机而进行安全控制了。 “虚拟世界中安全问题的尚方宝剑就是避开虚拟机，掌握对虚拟机和虚拟环境的控制。”Burton Group高级分析师Pete Lindstrom最近在一个有关虚拟化技术安全问题的网络广播中这样说道。 虽然已经有了许多尝试这种避开虚拟机的例子，但是还有人指出目前还没有出现在虚拟机安全方面发生的灾难故障。 Catapult Systems公司咨询师Steve Ross表示：“在我看来，目前还没有哪个黑客可以通过虚拟管理器将安全问题从一个虚拟主机上转移到另一个虚拟主机上。” 美国缅因州Bowdoin College大学系统工程师Tim Antonowicz表示：“也许这种情况会发生，黑客或者攻击者可能从一个虚拟机上转移到另一个虚拟机，但是到目前为止我还没有发现有任何的功能中断情况。”Antonowicz应用了VMware ESX来进行服务器虚拟化，他根据虚拟机上的数据信息和应用的灵敏性程度，将虚拟机从资源集群中隔离出来，从而将安全隐患降到最低水平。他说：“你不得不以这种方式将虚拟机隔离开来，这样才能加强安全性。” 美国芝加哥Cars.com公司技术操作总监Edward Christensen也采取相同的做法对架构中的虚拟机进行隔离。他说：“确保IT环境安全的通常做法就是在数据库和应用层之间建立防火墙。但是当你处在虚拟环境下，问题就复杂多了。”这家在线汽车公司使用虚拟机来对其配置的惠普服务器进行虚拟化，在网络外存储虚拟环境可以从一定程度上缓解安全问题。 2、为虚拟机打补丁 虚拟机的普及会带来一个问题：虚拟机开发的简易性会导致更多预期之外的应用实例出现，尤其是在虚拟环境下对操作系统的升级和更新。 Burton Group分析师Lindstrom表示：“因为这些虚拟机并不是固定的，所以为这些虚拟机打补丁成为一个严峻挑战，在虚拟世界中确保一台虚拟机上的补丁程序的合法化是非常重要的。” IT经理都表示认同打补丁是虚拟环境下一项重要工作，但是他们之间的分歧主要集中在为虚拟服务器打补丁和为物理服务器打补丁并不是一个安全问题，而是卷容量问题。 Catapult公司分析师Ross表示：“我们需要谨记一点，虚拟服务器和物理服务器一样需要进行补丁管理和补丁维护。”Transplace有三种虚拟环境，其中两个是在网络中而另一个是在DMZ中(包括大约150台虚拟机)，“虚拟管理器为升级更新添加了新的层，但是打补丁这项工作无论在虚拟机还是物理机上都是十分重要的。” 在Antonowicz看来，现在虚拟机普遍应用之后首先要面临一个优先考虑的问题，因为当在他直接管理下的虚拟机数量增加时，也就意味着为虚拟机打补丁所花费的时间更长了。早过去，他要给40台服务器打补丁，而现在这个数量增加到了80台，他希望有一天能够使用一款专门的工具来自动完成这个打补丁的工作。 他说：“如果不加以强行控制的话，虚拟环境就会疯涨。在我们引进更多的虚拟机设备前，我希望业内能够推出一款专门打补丁的自动化工具。”3、在DMZ上运行虚拟机 通常许多IT经理都会避免将虚拟服务器在DMZ中运行，而其他IT经理则不会在DMZ或那些被企业级防火墙保护的虚拟机中运行关键业务应用。但是Burton Group分析师Lindstrom指出，只要有适当的安全保护措施，用户完全可以将虚拟服务器在DMZ中运行。他说：“只要防火墙或其他独立设备是物理环境下的，你就可以在DMZ中应用虚拟化技术。大多数情况下，只要你将资源分离开，就可以放心的运行应用了。” 许多IT经理都开始着手将他们的虚拟服务器进行分离，并设置在企业级防火墙的保护下。Transplace公司IT架构总监Scott Engle认为，有价值的东西都在防火墙保护下，那些在DMZ中运行的虚拟机应用包括DNS等服务。 Engle表示：“我们在托管主机中运行虚拟机。在DMZ中，我们将运行带有少量VMware实例的物理服务器，但是我们不会将托管服务器和未托管网络连接起来。”4、新引入的虚拟管理器技术可能会让黑客有机可乘 任何一套新的操作系统都可能有很多漏洞，这也就意味着黑客们也会极力找出虚拟操作系统致命弱点以发出安全攻击。 业内观察家建议安全经理应该谨慎对待虚拟操作系统，这些虚拟操作系统可能带来的安全隐患恐怕不是所有手动操作都能解决的。 Ptak,Noel and Associates的首席分析师Richard L. Ptak表示：“虚拟系统实际上是一套全新的操作系统，可以实现底层硬件和环境的紧密交互源码天空 ，可能带来的管理换乱问题不容忽视。” 但是，虚拟管理器可能带来的安全隐患也许比人们想象中的少。像VMware等公司都开始致力于最大程度上降低虚拟管理器技术可能存在的安全漏洞。 Internet Research Group首席分析师Peter Christy表示：“VMware此举是一个很好的示范。但是一个管理器仅仅是出于表层的一小部分代码，要比确保8000万行代码的安全性要容易多了。”