Xen教父：虚拟化控制着公共云的安全性

　　虽然传统观点认为，虚拟化环境和公共云在安全方面带来了众多的棘手问题，但是有Xen教父之称的Simon Crosby表示，虚拟化其实拥有提高安全性的法宝。

　　Crosby是Xen这款开源虚拟机管理程序的开发者，也是新兴公司Bromium的创始人，这家公司希望利用Xen的功能特性来提高安全性。他表示，隔离功能(限制哪些计算任务在给定环境中运行的功能)是虚拟化技术的一个基本特点，可以利用这个功能来增强物理系统上进程的可信性，即便其他进程的安全已受到了危及。

　　Crosby在接受《Network World》杂志采访时表示，如果虚拟机管理程序(hypervisor)能够帮助隔离在系统上执行的诸多功能，因而减小成功破坏某一种功能的攻击扩散开来的风险，这就能增强其他那些进程的可信性。

　　Crosby说：“我认为，如果五年后我们回顾一下，其实会弄明白硬件虚拟化的核心价值在于安全性方面。实际上，其核心价值在于提高可信性或加强隔离，而不是我们现在为虚拟化技术提出来的各种夸大其词的好处。所以五年左右过后，即使在云计算.环境，虚拟化的主要用途还是在于安全，即通过隔离功能提高安全性。”

　　Crosby不愿细述这样一种系统的工作原理是怎样，因为这正是Bromium所开展业务的核心；该公司并没有打算在明年之前透露这方面的细节。但是在今年早些时候的Xen开发者大会上，Bromium联合创始人兼Xen.org主席Ian Pratt发表了一些真知灼见。

　　他表示，如果反省一下，Xen让虚拟机能够被另一个可信的虚拟机来检查的这项功能也许有助于发现虚拟机里面的安全隐患。Pratt表示，Xen可以隔离驱动程序域，这就能增强安全性。

　　Crosby表示，这种隔离类似XenClient现在提供的隔离技术；比如说，让企业桌面和个人桌面能够同时在同一个机器上运行，并且确保各自的活动相互独立、安全。某人对机器作出了可能有危险的个人行为，但不会危及企业桌面的功能。

　　他说：“我想要竭力表明的一个主要观点是，普通虚拟化技术通过隔离功能可以为你提供一个不同的环境，你可以在里面执行不同信任级别的代码。”

　　他表示，更细化地隔离进程可以提高公共云环境的安全性。他说：“我认为，将来可以创建高度安全的云体系，该云体系可以用来提供多层次的安全系统。”

　　他举例时提到了英特尔和迈克菲携手开发的DeepSAFE技术，该软件位于设备上的处理器与操作系统之间，其工作方式酷似裸机(类型1)虚拟机管理程序。据迈克菲声称，该软件与硬件直接联系起来，这为它赋予了可信性，得以洞察机器操作系统所看不到的事件。

　　Crosby说：“英特尔最近宣布与迈克菲共同开发出了Deep Safe技术，这是类型1虚拟机管理程序，它的唯一用途就是为运行时环境确保安全。所以，你会开始看到虚拟化技术给客户端带来安全。我认为，最终服务器系统上也会出现同样一幕。显然，你要让服务器虚拟机管理程序学习新的东西。”

　　他似乎认为，将虚拟机管理程序与集成到大众化处理器里面的可信平台模块(TPM)结合起来有助于加强安全性。TPM的功能包括：储存加密密钥以及硬件辅助加密，这样就有可能对公司企业交给公共云的所有数据进行加密。

　　Crosby说：“你可以高速加密数据，云服务提供商管理密钥是毫无理由的。所以，应该会出现的一幕是，当你在云环境中运行应用程序时，应该为它提供密钥。只有在运行中应用程序的环境下，当数据离开某个存储服务环境时，数据才被解密，然后在向外发送时重新实时加密。那样一来，要是有人破解了云服务提供商的接口，或者有人步入云服务提供商的场地后带走了硬盘，那么你也没有什么关系，因为数据已经过了加密。”

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]