文章內(nèi)容

提高企業(yè)虛擬化安全

發(fā)布時間: 2012/5/25 19:26:49

在企業(yè)運用虛擬化技術(shù)過程當中，也還在犯著過去二十年來的安全性錯誤，這主要是由于它們沒有意識到，在不同角度上新技術(shù)會帶來同樣的安全風險。下面，本文將向你介紹如何提高數(shù)據(jù)中心的虛擬化安全。

　　在虛擬化環(huán)境中，若某個虛擬系統(tǒng)或者虛擬程序受到潛在威脅，則勢必會影響到其他系統(tǒng)或者程序并進而嚴重威脅到企業(yè)自身的安全。隨著虛擬化技術(shù)在數(shù)據(jù)中心應(yīng)用方面日益普及，下面，將具體談到解決虛擬化安全挑戰(zhàn)的五個方面：

　　1、把安全計入整體成本

　　在考慮到虛擬化時，企業(yè)一般都會通過節(jié)約成本提高服務(wù)器利用率，以及整合數(shù)據(jù)中心的服務(wù)器來實現(xiàn)——基于硬件的節(jié)省和供應(yīng)成本的降低。事實上，安全也應(yīng)該納入到成本核算體系當中。比如，提供監(jiān)測、入侵檢測、補丁驗證和追蹤的虛擬設(shè)備成本，已經(jīng)其他需要安裝到各個物理平臺上的安全服務(wù)器。這樣可以減少每個物理主機所需支持的虛擬服務(wù)器，從而也影響到投資回報率。

　　2、把安全視作虛擬化設(shè)計階段的首要因素

　　企業(yè)需要對虛擬世界監(jiān)測安全性能指標——需要在隔離應(yīng)用程序和系統(tǒng)方面做出聰明的抉擇。例如，把信用卡信息從虛擬環(huán)境中分離出來，可以有效地減少PCI(支付卡行業(yè))追蹤相關(guān)電子交易信息。然而，在面向互聯(lián)網(wǎng)的Web服務(wù)器中存儲信用卡信息，并在同一物理主機上設(shè)有核對目錄清單的應(yīng)用服務(wù)器，這樣會導(dǎo)致數(shù)據(jù)庫管理訂單追蹤面臨更大的威脅。

　　3、監(jiān)視無形網(wǎng)絡(luò)

　　雖然物理服務(wù)器環(huán)境之間的數(shù)據(jù)，是通過一個物理網(wǎng)絡(luò)來傳輸?shù)摹⒉⑶乙彩强梢员O(jiān)控的，與此相對，虛擬服務(wù)器則是連接到一個虛擬網(wǎng)絡(luò)環(huán)境中——這就使得在虛擬主機之間，監(jiān)測和保護傳輸中的數(shù)據(jù)變得十分困難。對此，現(xiàn)實當中經(jīng)過驗證的解決方案有：適用虛擬環(huán)境下的入侵檢測和嗅探器。其他的解決方法則包括加強監(jiān)控、虛擬補丁管理以及虛擬系統(tǒng)環(huán)境中的安全調(diào)查工具。

　　4、監(jiān)控便攜式存儲設(shè)備

　　對于虛擬環(huán)境而言，再沒有比監(jiān)控個人數(shù)據(jù)存儲設(shè)備的使用更重要的了。得益于便攜的天性和虛擬服務(wù)器映像的優(yōu)點，虛擬化是一項很出色的促進數(shù)據(jù)恢復(fù)的技術(shù)。企業(yè)組織可以把系統(tǒng)映像拷貝到一個硬盤當中以便將來恢復(fù)系統(tǒng)，也可以把映像連接到復(fù)制后的數(shù)據(jù)之中。

　　但是，USB閃存盤、安全數(shù)碼卡和iPods都可以提供數(shù)GB的移動存儲給任何一個用戶——包括那些想拷貝一些服務(wù)器映像并且逃之夭夭的人。擁有一套對付這些設(shè)備的管理方案，對于保護敏感信息或者個人、商業(yè)信息都是十分必須的。

　　5、緊盯最新虛擬化安全研究

　　在2008年的DEFCON黑客會議上，一些身處最前沿的安全研究員展示了多種攻擊管理軟件的方法，而這些被攻擊的管理軟件又會反過來損害虛擬主機，使公司的資產(chǎn)比如信用卡資料、薪金和福利以及專有的業(yè)務(wù)戰(zhàn)略等信息外泄。請記住，這些潛在的攻擊還僅僅是冰山一角。企業(yè)需要有針對最新安全研究的專門部署，并在某些情況下，即使無計可施也要采取其他方面的控制手段。

　　這五個方面反映了信息安全必須納入評估、設(shè)計和執(zhí)行虛擬化環(huán)境以及保護數(shù)據(jù)安全和滿足相關(guān)要求的戰(zhàn)略觀點。隨著眾多企業(yè)關(guān)注虛擬化帶來的種種好處，它們也必須審查將會面臨的核心風險——意味著安全需要從一開始就重視起來。