客户端操作系统虚拟化加强服务器安全

一项加强服务器安全的新技术就是“客户端操作系统虚拟化”---它的原理就是使用一个特殊的虚拟化引擎来使一个虚拟化的来宾实例运转，或者是使在一个顶层的物理结构和主机实例上的操作系统客户端实例运转。

在客户端虚拟化操作系统中，主机把它的资源大体上划分成几个独立的部分，由这些不同的部分共同来支持不同的操作系统和不同的应用。一个虚拟机就是一个设备齐全的操作系统环境，它运行在虚拟层的顶层，并扮演着一个独立的计算机角色。

微软公司提供了商业用途的免费版本，它们是“虚拟机服务器 2005 R2”和“虚拟PC机2007”。VMware也发行了几款免费版本的虚拟机服务，例如有VMware Server，还有“WORKSTATION 6.0”，它可以运行在普通的PC机上;另外还有Virtual Infrastructure 3.x or ESX Server 3.x，这是VMware公司最全面的解决方案;最后就是“虚拟桌面结构”(简称VDI)，它可以把桌面环境进行虚拟化。

其他的厂商也提供了一些客户端操作系统虚拟化的解决方案，其中包括SWsoft，Virtual Iron 和 XenSource。例如，Linux的任何Xen版本都包括有一个核心的虚拟引擎。XenSource也提供了单机的虚拟化工具，而Virtual Iron和SWsoft公司也提供了这样的工具。关于XenSource最有趣的事情是，他们和微软公司一样，都是运行一个相同的虚拟机的格式，并且都保证您可以进行从一个虚拟机的解决方案迁移到另外的一台虚拟机上的操作。

操作系统虚拟化把操作系统本身从硬盘上解放出来

客户端操作系统虚拟化具有如此强大的作用的原因是，它把操作系统本身从正在运行的硬盘上“解放”出来。毕竟，一个虚拟机其实只不过就是一个文件夹下的一整套文件而已，如下图的目录图所示。

这些文件主要是由一些配置信息、虚拟硬盘驱动器和内存文件组成，如下面的表格所示。

文件类型

微软公司

VMware公司

配置信息文件

VMC

.VMX

虚拟硬盘驱动器文件

.VHD

.VMDK

内存文件

.VSV

.VMEM

一旦一个客户端操作系统被“解放”，您就能用它做各种各样的事情了。例如，您可以把它从一个主机服务器迁移到另外一个主机服务器上。除此之外，您还可以很容易的就做到保护一个客户端虚拟化操作系统，而做到这些您只需要使用一个复制的引擎来把一台主机信息复制到另外一台主机上去就可以了，甚至是发布在不同的网址上的。使用这项技术可以做的事情真是不胜枚举。

客户端操作系统虚拟化的工具分为几种不同的类型。最常用的工具就是现有操作系统顶部上的一个虚拟化引擎。举个例子，假设您在您的主机上安装了Windows 2003 Server，然后不论您是安装微软公司的“虚拟服务器”还是“VMware服务器”后，您都能创建和运行虚拟化的操作系统了。

然而，这种方法更适合用来做测试和在研发环境中使用，而真正谈到了产品系统，那可能就要差很多距离了。在产品环境中，您还得再使用一个虚拟化系统管理程序的工具。一个系统管理程序就是一个最基本的软件，这个软件直接运行在硬件的顶层上，以此来管理不同的虚拟化操作系统。这个系统管理程序的目的是为虚拟机操作系统揭露硬件资源。

系统管理程序事实上是一些大小在180K到500K之间小代码。由于它的小体积，所以使用起来给人的感觉很不错。

您可以在一个物理设备上同时运行几个不同的虚拟操作系统。平均算来，一个依赖系统管理程序的公司在一个物理设备上可以同时运行10个到20个的虚拟机操作系统。因为它们只不过是一些文件夹下的文件而已，所以虚拟机操作系统可以很轻松的被保护起来，而且可以完全支持商业连续性的各个环节。

软件的厂商们甚至在他们的服务器操作系统上创建自定义特征来使客户端操作系统更加完善。例如，微软公司在带有SP2补丁的Windows Server上添加了新特征来使它和主机进行更好的通讯协作工作。

修补许可证模式

但是使客户端虚拟化操作系统倍受喜爱的原因是，最近一些厂商们对许可证做了一些修改。例如，微软公司修改了服务器操作系统的许可证模式。在旧的许可证模式下，不管是物理实际存在的系统实例还是在虚拟机上存在的实例，您都得为此购买一个Windows的许可证。

但是现在，带有R2企业版本的Windows Server 2003(简称，WS03 R2 EE)，您所购买的每个许可证都可以让您在主机上同时安装、创建和运行四个虚拟机。因此您只需要为您的实际物理操作系统购买一个许可证，然后您就能添加四个免费而且是任何版本的Windows客户端系统。如果您想得到多于四个的虚拟操作系统，那就要为WS03 R2 EE再购买一个许可证就可以了。

除此之外，微软公司撤消了对Windows R2数据中心版本OEM的限制。如果您购买了数据中心版本，您就能运行一个不受数量限制的Windows的虚拟机实例。那么这就好象是圣代冰淇淋最上面的小樱桃一样令人喜爱：而这又与您所使用的是哪个虚拟平台无关。

这个模式的好处就在于它支持更快速度的虚拟机响应，因此您没有必要为许可证的事情而担忧了。仔细考虑一下这个问题。当您把它安装在一个虚拟实例上而不是在一个物理主机上的时候，可以得到WS03版本的75％的购买折扣。这使得通过虚拟机操作系统加固服务器变得更加的令人满意。

微软公司在关于授予给服务器许可证的技术上还做出了一些改变。最简单的计算您所需要许可证数量的方法就是使用微软现在所提供的“Windows服务器虚拟机计算器”，它有两种方法，您可以选择使用其中的一个。

当您创建一个虚拟化主机的时候，第一个“计算器”可以配置您的基于虚拟化技术的服务器、sockets程序和群集需求。

第二个计算器让您对Windows Server版本估算许可证的数量和花费。它给您提供了两种选择：

1. 选项A根据在您网络中存在服务器的数量来计算可运行在每个服务器上虚拟机的平均数量。

2. 选项B根据在每个服务器上的处理器的数量，计算了针对于每个个体服务器可运行虚拟机的数量。

微软公司并不是唯一一个在进行许可证修改的公司，其他一些厂商们也很赞同虚拟运行模式并且在他们的许可证计划中可见一斑。首先在您决定把一个服务器产品虚拟化之前，一定要和您的软件提供商谈好这个问题。

这篇文章是关于服务器加固的四篇文章中最后的一篇。第一篇文章，讲述了关于“使IT管理员们五步就能管理好服务器的加固的方法”。第二篇文章讲述了关于“控制花费是服务器加固的第一步”，在这篇文章中讨论了控制IT花费应该优先于服务器的加固工程。第三篇文章，讨论了“多核处理器和64位服务器”在当今服务器安全加固中所起到的重要作用。

64位服务器技术、多核处理器、虚拟化操作系统和操作系统许可证模式的修改，它们使得迁移虚拟化的服务器变得非常引人注目。因为服务器加固的目标是减少服务器的增殖负担，所以在我们的加固工程完成之前，您还得使用一些其他的技术。毕竟，如果您一旦把操作系统的每个物理实例进行虚拟化后，那么就相当于既要管理好实际的主机操作系统，又要管理好比现在数量更多的客户端虚拟化操作系统了。