對于人們來說，安全性是一個問題，而網(wǎng)絡(luò)安全是一個更嚴(yán)重的問題，因為將會面臨風(fēng)險的復(fù)雜因素以及失敗時可能會產(chǎn)生嚴(yán)重的負面影響。

虛擬網(wǎng)絡(luò)安全是更糟糕的一個問題，因為它將傳統(tǒng)托管和應(yīng)用程序安全性產(chǎn)生的問題與網(wǎng)絡(luò)安全問題相結(jié)合，然后增加了虛擬資源和服務(wù)的挑戰(zhàn)。毫無疑問，人們現(xiàn)在才開始認識到云虛擬網(wǎng)絡(luò)的問題，解決這些問題還有很長的路要走。

安全性應(yīng)該始終被視為一個增量問題。目前的情況與已經(jīng)經(jīng)歷、容忍或解決的情況有著什么樣的區(qū)別？對于網(wǎng)絡(luò)的云虛擬安全，最大的區(qū)別是虛擬到資源的映射，這意味著連接托管組件所需的框架。簡而言之，云計算虛擬服務(wù)安全問題的出現(xiàn)是因為設(shè)計用于保護托管軟件功能的安全工具與保護物理設(shè)備的工具不同。

通過隔離它們來保護托管元素

保護云計算中的虛擬機安全性的第一步是隔離新的托管元素。例如，假設(shè)邊緣設(shè)備中托管的三個功能可以作為服務(wù)數(shù)據(jù)平臺的一部分部署在云中，網(wǎng)絡(luò)用戶可以看到地址，或者作為隱藏的私有子網(wǎng)的一部分。如果企業(yè)的業(yè)務(wù)在云中部署，那么任何功能都可能受到攻擊，并且其托管和管理流程也可能變得可見且易受攻擊。如果企業(yè)將主機和功能連接隔離在一個專用子網(wǎng)絡(luò)中，則不會受到外部訪問的保護。

在當(dāng)今的容器托管中，無論是在數(shù)據(jù)中心還是在云中，應(yīng)用程序組件都部署在私有子網(wǎng)內(nèi)。因此，只顯示表示用戶應(yīng)訪問的API的地址。同樣的原則需要應(yīng)用于虛擬函數(shù)；公開用戶實際連接的接口，并用受保護的地址隱藏其余的接口。

確保所有組件都經(jīng)過測試和審核

云虛擬安全性的第二步是在允許部署之前，對安全合規(guī)性的虛擬功能進行認證。外部攻擊是虛擬網(wǎng)絡(luò)中的真正風(fēng)險，但內(nèi)部攻擊則是一場災(zāi)難。如果可以防止后門漏洞的功能引入服務(wù)，它將成為服務(wù)基礎(chǔ)設(shè)施的一部分，并且更有可能擁有對其他基礎(chǔ)設(shè)施元素的開放攻擊向量。

堅持強大的生命周期管理組件只能訪問同一服務(wù)實例中的其他組件非常重要，減少了惡意軟件在新的軟件托管功能中引入的風(fēng)險。后門攻擊可能會使服務(wù)本身處于危險之中，但惡意軟件不太可能傳播到其他服務(wù)和客戶。

但是，這種方法并不能減輕操作員的安全測試負擔(dān)。對于所有托管特性和功能，堅持強大的生命周期管理合規(guī)流程非常重要，運營商可以審核和驗證。如果提供托管特性或功能的公司正確地測試了他們的新代碼，那么它就不太可能包含意外的漏洞或故意引入的后門漏洞。

單獨的管理API以保護網(wǎng)絡(luò)

第三步是將基礎(chǔ)設(shè)施管理和業(yè)務(wù)流程與服務(wù)分開。管理API將始終代表一個主要風(fēng)險，因為它們是為控制特性、功能和服務(wù)行為而設(shè)計的。保護所有這樣的API很重要，但保護那些監(jiān)視服務(wù)用戶不應(yīng)該訪問的基礎(chǔ)設(shè)施元素的API是至關(guān)重要的。

確保云中虛擬機安全性的最重要領(lǐng)域是由ETSI網(wǎng)絡(luò)功能虛擬化（NFV）行業(yè)規(guī)范組強制要求的虛擬網(wǎng)絡(luò)功能管理器（VNFM）結(jié)構(gòu)的虛擬功能特定部分。此代碼由網(wǎng)絡(luò)功能虛擬化（NFV）的提供者提供，并且可能需要訪問代表基礎(chǔ)設(shè)施元素以及編排或部署工具的API。這些元素可能打開基礎(chǔ)設(shè)施管理API的網(wǎng)關(guān)，這可能會影響虛擬云服務(wù)中使用的功能的安全性和穩(wěn)定性。

保護虛擬網(wǎng)絡(luò)功能管理器（VNFM）意味著要求網(wǎng)絡(luò)功能虛擬化（NFV）提供商提供其架構(gòu)來管理與基礎(chǔ)設(shè)施或部署／管理API的虛擬網(wǎng)絡(luò)功能管理器（VNFM）連接，以便進行審查和安全增強。重要的是確保與其他網(wǎng)絡(luò)功能虛擬化（NFV）或服務(wù)關(guān)聯(lián)的服務(wù)用戶，網(wǎng)絡(luò)功能虛擬化（NFV）或虛擬網(wǎng)絡(luò)功能管理器（VNFM）不能訪問基礎(chǔ)設(shè)施管理API。

通過包含訪問權(quán)限，企業(yè)可以限制安全風(fēng)險。此外，運營商應(yīng)要求記錄任何來源對基礎(chǔ)設(shè)施管理和編排API的訪問，并檢查任何訪問或更改以防止發(fā)生管理訪問泄漏。

保持連接安全和分離

云虛擬網(wǎng)絡(luò)安全的第四點，也是最后一點是確保虛擬網(wǎng)絡(luò)連接不會在租戶或服務(wù)之間交叉。虛擬網(wǎng)絡(luò)是為重新部署或擴展的功能創(chuàng)建靈活連接的絕佳方式，但每次進行虛擬網(wǎng)絡(luò)更改時，都可能在兩個不同的服務(wù)、租戶或功能／功能部署之間建立無意的連接。這可能會產(chǎn)生數(shù)據(jù)平臺泄漏，實際用戶網(wǎng)絡(luò)之間的連接和管理或控制泄漏，這可能允許一個用戶影響另一個用戶的服務(wù)。

管理虛擬連接的實踐和策略可以降低這樣的錯誤風(fēng)險，但要完全避免這種錯誤是非常困難的。這是因為連接功能的虛擬網(wǎng)絡(luò)和連接用戶的真實網(wǎng)絡(luò)之間存在間接關(guān)系�？梢圆捎玫囊环N補救方法是使用網(wǎng)絡(luò)掃描器或清單工具搜索虛擬網(wǎng)絡(luò)上的設(shè)備和虛擬設(shè)備，并將結(jié)果與預(yù)期的服務(wù)拓撲進行比較。這可以作為虛擬網(wǎng)絡(luò)更改的最后一步。

云虛擬網(wǎng)絡(luò)將云計算引入網(wǎng)絡(luò)，但也會帶來服務(wù)器、托管和虛擬網(wǎng)絡(luò)安全問題。任何使用企業(yè)僅從設(shè)備構(gòu)建網(wǎng)絡(luò)的時代的工具和實踐，并認為這些風(fēng)險可以通過傳統(tǒng)方法解決的人都將很快面臨嚴(yán)峻的現(xiàn)實。