对于今天的企业，虚拟机就像是90年代的虚拟局域网（VLAN）交换机：一个使IT简化的变革性技术。它是如此引人注目，在短时间内就能够普及。

　　不幸的是，天下没有免费的午餐。企业安全团队很大程度上忽略了VLAN的安全内涵。结果，如今渗透测试团队经常可以侵入接待员的桌上型电脑，并直接攻击主机和存储网络，这是一个例子。

　　计算机行业如何能避免与虚拟化同样的错误？通过跟踪虚拟化发展时的技术，并且站在攻击者的角度思考。这篇文章中，我们将介绍提前在虚拟服务器环境中创建安全措施的方法。

　　服务器虚拟化需要新思维

　　首先，停止以目前使用虚拟机的方式思考。该技术今天被广泛配置，但是明天将是普遍的。新的应用软件不会简单地配置在物理硬件上；很快，几乎所有的应用服务器将受一个虚拟控制台的操纵。

　　以攻击者的角度来看架构：虚拟化控制着企业的每一个应用程序。因此，虚拟基础架构是网络上最有价值的目标。它是攻击者追逐的首要目标。

　　使用方针和技术

　　接下来，记住IT安全的一个铁的定律：不管有什么样的方针和控件，一些机器仍将会受到损害。应为此制定计划。

　　在虚拟机之前，那些受到损害的系统会为攻击者提供访问内部网络的权限。有了虚拟机，攻击者不仅可以访问网络，也可以访问任何附属的虚拟基础架构，使所有的虚拟系统——和它们所包含的数据——处于危险之中。

　　虚拟安全最重大的挑战是，防止访问成为一个“game-over”的威胁，它会威胁到企业中所有其它虚拟机。如何能做到呢？这里有一些策略：

• 按处理的信息分割虚拟机。不错，高安全虚拟机管理着信用卡号码，医疗信息以及其它最重要的数据。但仍然有大量的虚拟机，用于质量保证和系统测试，这里管理员的密码就是“密码”。指望它吧。不要犯与VLAN相同的错误：预先要讲清楚，有一个方针，两种类型的虚拟机决不能共享相同的硬件。然而，今天它也许听起来不现实，假设如果攻击者能在一个虚拟机上运行代码，他们也能在同一台机器上的任一其它虚拟机上运行代码。
• 留意密码系统。企业使用密码系统的地方比你能想到的更多，像强化Active Directory服务器、保护SSL连接，以及在Web应用程序上产生session cookies。由于隐藏在基础硬件里的timing artifacts，虚拟化在保护加密的机密方面是有缺陷的。不要在虚拟化的共享主机上配置金融应用软件。
• 创建标准锁定图像。在虚拟化下，主机安全意味着更多，因为共享硬件的虚拟机经常能直接互相对话。你的整个就够应当严格地使用一个基线Windows服务器装置，或者严格地使用一个Linux构造。构造应该锁定为紧密；换句话说，应该坚固，配置最小的痕迹和最大的安全控制。
• 安全地存储、移动和备份。虚拟机常常以存储区域网络（SAN）技术存储，像iSCSI；在标准TCP/IP网络上移动；使用FTP备份。记住所有这些的关键是，如果攻击者能够在传送或者静止时，看见并且改变那些虚拟机位数，攻击者就可以轻松地改写虚拟机，使你的安全系统完全无效。紧密控制对虚拟机存储的访问，就像您对域管理员密码和SSH钥匙访问的控制那样。