序 言

什么是虚拟化安全？这里有许多不同的定义，但最简单的是：系统锁定和虚拟化基础设施所有组件与安全相关的技术及过程化控制的应用。为什么需要虚拟化安全？世界正在快速变化，现代数据中心的形态正快速发生变化，许多组织的网络边界比以往任何时候都显得更模糊。我们开始利用组织内部和外部的数据云，这往往涉及大量虚拟化技术。我们的整个网络好比在“一个盒子里”，所有组件都从它们的对应物——网络设备、存储器、应用程序组件、整个服务器和桌面中抽象出来。最后，也可能是最重要的，在计算机堆栈中，我们比以往任何时候拥有更多的层，而更多的层意味着更糟糕的安全，这是IT多年来得到的一个教训。

由于这些原因，我们需要正确理解如何适当锁定这一技术。就任何安全努力来说，你做什么和怎样做的效果和严格程度，取决于你的业务和风险承受能力。对于一些安全问题，我们应该更侧重于政策和流程而不是技术。例如，作为一个良好的虚拟化安全策略的一部分，变更控制和配置管理这两个方面确实需要关注，但它们不像其他策略一样解决实际技术问题。另外，在虚拟化领域有许多旋钮要调，按钮要按，知道它们是什么和什么时候扭或按下是更多运营和安全团队现在需要了解的一项关键技能。当你基于一种技术构建基础设施时，你最好知道如何恰当地保护它。我真诚地希望这本书能为读者提供实用的指南，欢迎任何反馈或改进。谁应该阅读本书我认为本书对每个人都有益处，但“每个人”是一个相当宽泛的定义，我会将它的范围缩小一点。本书是一本专著，尤其是为IT运营团队即管理虚拟环境（包括虚拟网络和存储）任何方面的团队所写。本书理论方面非常简短，直奔主题，使你能够快速应用概念，完成工作。IT管理员、网络工程师、技术架构师和许多其他关注运营的人员也可以从本书获益。这本书也是为信息安全团队写的。尽管他们可能不亲自执行许多虚拟化环境的配置，但他们却可能参与审计和设置策略，如果他们知道的技术知识更多，他们就能更好地完成工作。最后，这里有许多材料，技术经理和审计员也会很感兴趣。尽管不是所有材料都会引起他们的兴趣，更有可能是这里有足够的背景资料使经理们能够快速掌握，并且有审计员能用来评估环境的状态的技术控制和命令。你将学到什么

目 录

第3章　设计安全的虚拟网络 3.1 虚拟和物理网络比较 3.1.1 虚拟网络设计元素 3.1.2 物理网络与虚拟网络 3.2 虚拟网络安全考虑因素 3.2.1 重要的安全元素 3.2.2 架构考虑因素 3.3 虚拟交换机安全配置 3.3.1 定义独立的vSwitch和端口组 3.3.2 为网络分段配置VLAN和私有VLAN 3.3.3 限制使用中的虚拟网络 3.3.4 实现本地虚拟网络安全策略 3.3.5 iSCSI存储网络安全连接 3.4 与物理网络集成 第4章　高级虚拟网络操作 4.1 网络运营挑战 4.2 VMware vSphere上的网络运营 4.2.1 在vSphere虚拟环境中的负载均衡 4.2.2 VMware vSphere中的流量整形和网络性能 4.2.3 在VMware vSphere中建立合理的网络监控 4.3 Microsoft Hyper-V中的网络操作 4.3.1 Hyper-V虚拟环境中的负载均衡 4.3.2 在Hyper-V中进行流量整形和网络性能 4.3.3 在Hyper-V中创建一个合理的网络监控策略 4.4 Citrix XenServer中的网络操作 4.4.1 在XenServer虚拟环境中的负载均衡 4.4.2 XenServer上的流量整形和网络性能 4.4.3 在XenServer中创建合理的网络监控策略 第5章　虚拟化管理和客户端安全 5.1 管理平台的一般安全建议 5.2 虚拟化管理服务器的网络架构 5.3 VMware vCenter 5.3.1 vCenter服务账户 5.3.2 vCenter中的安全通信 5.3.3 vCenter日志 5.3.4 vCenter中的用户、组和角色 5.3.5 角色创建场景 5.3.6 vSphere客户端 5.4 Microsoft系统中心虚拟机管理器 5.4.1 SCVMM服务账户 5.4.2 SCVMM的安全通信 5.4.3 SCVMM日志 5.4.4 SCVMM中的用户、组和角色 5.4.5 客户端安全 5.5 Citrix XenCenter 5.5.1 XenCenter的安全通信 5.5.2 XenCenter的日志 15.5.3 XenCenter中的用户、组和角色