为一个虚拟基础设施选择保护措施就如同为Mac OS购买一个反病毒软件产品一样：大多数人都会奇怪，为什么你会感到烦恼。但是，随着越来越多IT企业把他们的服务器迁移至虚拟机和基于云计算的环境中，保护这些资源的问题也逐渐浮出水面并且变得越来越重要。

　　但不只是为云计算的虚拟机（VM）简单地安装一个防火墙或防病毒软件那么简单。物理服务器的设计宗旨并不是在运行10个虚拟服务器的管理程序上检查和过滤大流量的数据。因为虚拟机能够通过点击按钮完成启动、通知和在不同管理程序之间进行迁移等操作，无论你选择什么样的防护措施都必须能够轻松地处理这些操作。此外，随着数据中心中虚拟机数量的不断增加，它们也越来越难以解释、管理和保护。如果未经授权的人获得了访问管理程序的权限，他们就能够利用缺乏控制的漏洞，修改其中所有的虚拟机。

　　随着企业服务器和数据中心基础设施的虚拟化程度日益深入，他们需要与之相匹配的专业保护技术措施。虽然保护等级仍然与适用于物理服务器保护产品的深度与广度紧密相关，幸运的是，仍然有无数的行业厂商勇于迎接这个挑战。

　　保护功能类型

　　目前虚拟世界中还没有单独统一的威胁管理工具；任何致力于虚拟机产品开发的厂商的初衷并不仅仅在于一个保护性产品。这些产品大致可以有以下四种不同的功能分类:

• 法规和审计。这个功能包括对不同法规要求生成报告的能力，例如支付卡倡议标准，以及审计访问和管理日志的能力。
• 入侵检测（IDS）和防火墙功能。这些功能是大多数人在考虑虚拟机安全性问题首先想到的功能。
•  访问控制。这个功能包括能够限制用户在任何受保护的主机上中止虚拟机运行和改变虚拟机运行状态。一些产品有能力把访问控制角色和Active Directory用户相结合，更轻松简便地进行策略部署。
• 防病毒/反恶意软件保护。与物理世界中的反病毒工具类似，这些产品也为虚拟机中的应用提供保护。

点击查看大图

　　图1:Reflex Systems的虚拟管理中心有一个非常好的示意图，可向你显示你的虚拟机是如何分布的。当你的鼠标停在每个图标上方时，在屏幕的右上角会显示相关的状态信息。

　　可用的虚拟机保护选项

　　在过去的一年之中，业界内公司的兼并与收购步伐逐渐加快，而主要的虚拟化和安全厂商都试图扩大他们的产品与集成产品。VMware公司收购了Blue Lane Technologies公司，并将其软件纳入自己的产品vShield之中； Juniper网络公司收购了Altor Networks公司，Third Brigade公司目前也已成为了Trend Micro公司Deep Security产品线的一部分。当然，还有一些其他更小的同类公司。

　　这里有一个典型虚拟机保护产品的列表：

　　• Beyond Trust Power Broker的虚拟化服务器
　　• Catbird vSecurity
　　• CA 虚拟权限管理器
　　• Centrify 直接授权
　　• Fortinet FortiWeb 虚拟机
　　• HyTrust Appliance
　　• Juniper/Altor 虚拟防火墙
　　• 精细云计算
　　• Reflex 系统虚拟化管理中心
　　• Splunk 虚拟化
　　• Third Brigade/Trend Micro Deep Security
　　• VMware/Blue Lane vShield产品系列

　　所有这些产品都是在保护您的虚拟基础设施的不同部分，因此它们之间并没有直接的可比性。从上述不同的并购案中，你可以发现，虚拟机保护市场是非常动态的，其中孕育着大量的变数。

点击查看大图

　　图2:Trend Micro公司的Deep Security有一个具有警报摘要和事件历史的主动性防入侵板。

　　当你终于准备为一个虚拟机为主题的保护进行采购时，请一定要做一下梳理并与你的供应商达成如下的共识：

　　1.需要保护什么样特定版本的管理程序？所有这些产品与特定的VMware主机一起配合运行，而有一些只与更新的版本（v4或以上版本）兼容。有的还与Xen主机配套（推而广之，即内置于Xen、Amazon公司的网络服务）目前还没有与微软公司的Hyper-V技术相配合的产品。

　　2.你是否需要代理，如果需要，他们安装在哪里？有些产品在管理程序本身安装代理，因此无需在每个虚拟机中安装额外的软件。其他的产品与VMware接口直接交互，而仍有一些其他的产品需要VMware的vMA或vShield附件。由于虚拟机可以经常性地暂停和重启，这里的目的在于提供即时的保护，以避免传统物理防病毒产品的开机检查。　

　　3.我能否通过电子邮件管理人员报告？他们是否会根据那些报告进行决策实施措施？有些产品如果打印出来，可形成如电话薄般的报告。这一详细程度的报告往往让人无所适从，且实用性较低。其他的产品则做得更好，即使是你的经理也能轻松理解。

　　4.其策略控制的详细程度如何？产品是否易于对现有策略进行补充或完全创建一个新的策略？这是这些产品的基本功能要求，请确保你对此信息熟悉，因为这将最终决定你为此花费的绝大部分时间。

　　5.最后，其价格如何？每个产品都有着一个复杂的定价方案：有些根据虚拟机、机位、受保护的主机或设备进行收费。