|
虛擬化數(shù)據(jù)中心安全步驟六:留意存儲資源
有些企業(yè)在SAN上提供過多的存儲資源���,這就可能錯誤地讓虛擬機的共享區(qū)域成為SAN的一部分。
如果使用VMware移動虛擬機的工具VMotion���,會在SAN上分配一些分區(qū)存儲資源���。 但還要細化存儲資源的分配,就像在物理環(huán)境下那樣。展望未來���,N-port ID虛擬化技術是一個選擇���,這項技術可以只為一個虛擬機分配存儲資源。
虛擬化數(shù)據(jù)中心安全步驟七:隔離網(wǎng)段
企業(yè)走上虛擬化道路�����,不該忽視與安全有關的網(wǎng)絡流量風險���。但其中一些風險很容易被忽視�����,如果在進行虛擬化規(guī)劃時沒有網(wǎng)絡和安全人員參與�,更是如此��。Wolf說: “許多企業(yè)只是把性能作為合并服務器的度量標準�。”
舉例說�����,有些CIO絕對不允許任何虛擬服務器出現(xiàn)在“非軍事區(qū)(DMZ)”。(DMZ是存放外部服務到互聯(lián)網(wǎng)的子網(wǎng)絡�����,就像電子商務服務器一樣���,它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))�。
Wolf說����,要是DMZ里面果真有幾個虛擬機,就要放在與一部分舊系統(tǒng)(如關鍵的Oracle數(shù)據(jù)庫服務器)分開在的獨立網(wǎng)段上��。
Abbene說����,在Arch Coal公司,IT團隊一開始就考慮到了DMZ��。他們把虛擬服務器部署在內(nèi)部局域網(wǎng)上���,不面向公眾�����。Abbene說: “這是一個關鍵的決定��。”舉例說����,公司在DMZ里面有幾臺安全的FTP服務器以及幾臺從事簡單電子商務的服務器,公司不打算把虛擬機部署到里面����。
虛擬化數(shù)據(jù)中心安全步驟八:注意交換機
什么時候交換機不是交換機?Wolf說: “有些虛擬交換機的工作方式類似集線器: 每個端口鏡像到虛擬交換機上的所有其他端口。”特別是如今的微軟Virtual Server帶來了這個問題��。VMware的ESX Sserver不會�,思杰的XenServer也不會。他說: “人們一聽到‘交換機’�,就認為有隔離機制。這其實視廠商而定���。”
微軟聲稱���,交換機問題會在即將發(fā)布的Viridian服務器虛擬化軟件產(chǎn)品中得到解決。
虛擬化數(shù)據(jù)中心安全步驟九:監(jiān)控“非法”虛擬機
要擔心的不僅僅是服務器��。Wolf說: “最大的威脅在客戶端上—非法虛擬機(rogue VM)���。” 那么����,什么是非法虛擬機?用戶能夠下載及使用VMware Player這樣的免費程序��,會讓桌面和筆記本電腦用戶可以運行由VMware Workstation��、Server或者ESX Server創(chuàng)建的任何虛擬機����。
如今許多用戶喜歡在桌面或者筆記本電腦上使用虛擬機分開各部分工作,或者分開公事與私事��。 有些人使用VMware Player在一個機器上運行多個操作系統(tǒng)���。 比如使用Linux作為基本操作系統(tǒng)�,卻創(chuàng)建一個虛擬機來運行Windows應用�����。
Wolf說: “這些虛擬機甚至沒有打上相應的補丁�。那些系統(tǒng)暴露在網(wǎng)絡上因而所有未加管理的操作系統(tǒng)易受攻擊。”
這會增添很多風險: 運行非法虛擬機的機器可能會傳播病毒�。更糟糕的是�����,可能還會傳播到物理網(wǎng)絡上��。舉例說���,有些人就很容易加載DHCP服務器以便分配虛假IP地址。這實際上就是一種拒絕服務攻擊���。至少���,會把IT資源浪費在查明問題上。甚至有可能是簡單的用戶錯誤����,也會給網(wǎng)絡帶來不必要的負擔。
那么如何防范非法虛擬機呢?首先應當加以控制�,規(guī)定誰可以獲得VMware Workstation(因為創(chuàng)建虛擬機需要它)。IT部門還可以使用群組安全策略來防止某些可執(zhí)行程序運行���,比如安裝VM Player所需的可執(zhí)行程序����。另一個選擇是,定期審查用戶的硬驅���。需要找出裝有虛擬機的機器,然后標記出來����,以便IT部門采取適當行動。
這是不是已成了用戶和IT部門之間的另一個爭論點—精通技術的用戶需要在公司能像在家里那樣使用虛擬機?Wolf說還沒有��。他說: “大部分IT部門對此置之不理���。”
如果允許用戶在電腦上運行虛擬機�,VMware的Lab Manager及其他管理工具可以幫助IT部門控制及監(jiān)管這些虛擬機��。
虛擬化數(shù)據(jù)中心安全步驟十:做好虛擬化安全預算
IDC的Elliott說: “確保分配好虛擬化安全和管理方面的預算�����。”Arch Coal公司的Abbene指出��,可能不需要在安全預算中為虛擬化安全單列預算���,但全部安全預算最好為它留出足夠多的資金�。
另外,在估算虛擬化的投資回報時要留意安全成本��。Hoff指出��,對越來越多的服務器進行虛擬化處理����,并不會使安全開支有所降低,因為需要運用現(xiàn)有的安全工具來管理每個虛擬機����。如果沒有預料到這筆開支,可能會減少投資回報��。
據(jù)Gartner聲稱��,這是目前常犯的一個錯誤���。據(jù)Gartner的副總裁Neil MacDonald聲稱��,到2009年���,部署的虛擬化技術大約有90%會面臨未預料到的成本,比如安全成本等�,這會影響投資回報��。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商�!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
