怎么整合物理机、虚拟机的安全问题呢？

管理和集成物理机和虚拟机的安全性——无论是在线还是离线——无疑是一个挑战。到目前为止，还没有明确的“最佳实践”方法。根据Gartner最近的研究报告，在2009年，60%的虚拟机的安全性将弱于相应的物理服务器。这个数字突出了确保虚拟机安全性的挑战，也突出了缺乏培训的一些管理员，他们可以在需要时在物理环境和虚拟环境之间切换。

我认为挑战可以分为两类:人和安全工具，或者说缺乏人和安全工具。当涉及到安全管理的人为因素时，尽量避免将物理系统管理和虚拟化资源管理分离到单独的管理结构中。如果有事发生，IT人员必须做好更紧密合作的准备，否则你会浪费时间和资源。在纯物理的IT环境中，很多角色都是独立而清晰的，比如服务器管理、存储、网络和安全。当推出服务器虚拟化时，业界仍在学习虚拟化如何全面影响网络和服务器的安全环境。确保现有物理服务器安全性的策略、技术、配置和实践不能以同样的方式应用于虚拟服务器。例如，安全设备和策略需要消除对IP地址的依赖，因为由于虚拟机的创建、删除或迁移，IP地址会更频繁地改变。

此外，虚拟化主机中网络的可见性将会降低。传统的网络安全工具并不能始终看到同一台主机中不同虚拟机之间的通信，导致异常通信难以检测。还应检查变更管理程序，以确定记录变更的方式和时间。例如，未来的审计员是否需要为主机或客户机，或者两者都创建一个变更日志？

第二个挑战是找到有助于确保混合基础架构安全性的工具。物理世界和虚拟世界的安全工具大多是不一样的。例如，虚拟机的工具和实用程序在类似VMware的环境中运行良好，但它们并不是真正为在集成的物理系统中复制而设计的。微软、戴尔、IBM、惠普等很多厂商都在尝试解决这个问题。例如，Check Point软件技术公司的VPN-1虚拟环境为物理网络和虚拟应用程序提供统一的安全管理，允许系统管理员从同一界面运行虚拟、物理和网络安全任务。重要的是，它为整个安全基础架构(包括虚拟环境)提供了统一的日志记录。这是混合环境下审计和合规的关键因素。

说到补丁管理，现在Shavlik科技公司的NetChk Protect可以为在线和离线的虚拟机和物理机提供集中的补丁管理。它还可以查找离线虚拟映像。赛门铁克的Backup Exec 12.5支持VMware ESX和Microsoft Hyper- V的虚拟机和物理机备份，并允许系统管理员使用控制台将物理机和虚拟机备份到磁盘。

毫无疑问，虚拟化显然有许多好处，可以降低总成本，但在未来一段时间内，在异构基础架构中运行物理机和虚拟服务器仍将是一个挑战。企业安全管理人员应及时了解虚拟化系统面临的威胁以及虚拟化开发过程中的安全创新。