虚拟化安全怎么做？靠安全设备虚拟化还是换个思路？（一）

业务系统在完成从实体机架构向虚拟化架构迁移后，安全问题就开始浮出水面：在实体机时代，我们有防火墙、WAF、IDS、IPS、堡垒机等一系列硬件设置可以堆叠，而在虚拟化架构中，这些硬件产品已经无法接入，于是就有了安全设备虚拟化。安全设备虚拟化（Security Device Virtualization，简称SDV），就是利用各种不同的虚拟化技术，借助云平台上标准的计算单元创造一个虚拟化的安全设备。

虽然SDV在一定程度上缓解了安全设备和云计算的尴尬关系，但仍然存在缺陷：

1. SDV并不是虚拟化安全的原生解决方案，是个被迫的选择，目前看来SDV和虚拟化技术的兼容性并不十分理想
2. 安全设备从诞生开始就在业务的外围游走，只是在主机的外围做防御，一旦流量穿过流量层或应用层到达主机层后，安全设备的防御措施就会失效
3. 无法解决入侵内网后的东西向流动（lateral movement），这个问题在云环境下尤为严重

除了云WAF、SDV，我们是否能找到虚拟化安全的原生安全解决方案？

主机安全软件在之前的安全市场一直处于不愠不火的状态，有两点原因：

1. 进入门槛很高，做底层安全必须要考虑到和系统的兼容性，以linux版本为例，如果需要做到全版本通用，就需要适配centos、redhat、ubuntu、suse、中标麒麟等多个linux发行版本，当然还有很多小版本，比如centos4,5,6,7，光系统兼容性一项就是个巨大的工程，更别说和其他应用的兼容。
2. 大部分客户认为主机上的安全主要是杀毒，对主机安全产品认识不足，而实际上，目前主机安全厂商的技术已经非常成熟，大部分安全设备能做的事情，主机安全软件都可以做，而且效果更强。