數(shù)據中心如何配置安全的遠程管理服務 ? |
發(fā)布時間: 2012/5/20 20:36:47 |
機房的門緊鎖著,網絡的大門卻敞開著。遠程管理已經成為了數(shù)據中心日常運維的主要途徑,但傳統(tǒng)的遠程管理方法總是一盤散沙,服務器、網絡設備、電源監(jiān)控、溫濕度控制等等這些,都是各自為政。由于對這些遠程管理措施無法進行統(tǒng)一的安全管控,當一個端點失控的時候,對管理來說可能就是一次末世災難。 遠程管理風險知多少? 在經歷了數(shù)據大集中之后,許多企業(yè)都加大了數(shù)據中心的管理力度,以求降低了經營風險。作為數(shù)據中心電源管理、基礎架構管理、KVM 和串口解決方案所公認的創(chuàng)新企業(yè),美國力登公司(Raritan)認為:“由于運維對象的管理特征各不相同,在遠程管理時很多數(shù)據中心采取了多套遠程管理系統(tǒng),不但日常維護操作復雜,還存在著密碼泄露,操作人員無法審計等一系列的難題。數(shù)據通信安全、基礎設施的實時監(jiān)控,以及電力成本過大等一系列的問題,都會增加數(shù)據中心的日常運維難度。” 以服務器和網絡設備為例,如果這些設備出現(xiàn)問題,網絡就失去了生命,同時這些設備也是遠程管理中最為頻繁的對象。例如,很多管理員習慣使用遠程桌面,或者更熟練的使用SSH等配置工具。但由于這些服務存在著公認的漏洞,協(xié)議端口一旦暴露到網絡上,常常會遭到掃描和密碼暴力破解的攻擊。除了應用層的遠程管理漏洞之外,許多管理員認為采用串口的網絡設備是相對安全的,但事實恰恰相反。比如路由器,交換機,防火墻等設備,如果都采用串口進行管理,也就無遠程管理可談了。所以,勢必要利用Telnet服務,或者開啟Web管理功能,這些大量的、分散的,品牌雜亂的串口設備,同樣無法抵抗住網絡嗅探,暴力破解密碼,以及針對內核漏洞的黑客攻擊。并且,當鏈路出現(xiàn)問題時,網絡瀏覽器、RDP、VNC、SSH 和 Telnet 等帶內管理(in-band)軟件解決方案都無法對出現(xiàn)故障的網絡設備進行深層次的管理。那些身在外地的管理人員和設備維護人員,都無法第一時間通過網絡進行故障排查,這會對生產造成重大的損失! 無縫融合 遠程管理可以做的更多 數(shù)據中心體系逐步建立起來,但風險也隨之膨脹。誰都清楚,多一份應用就會多一份風險,當你面對不能觸手可及的東西時,你的命運就可能掌握在別人手里了。因此,一套完整的遠程管理方案,不但要能控制每個設備,更重要的這條通道要更具有便捷性和安全性共存的雙重任務。為了方便管理各種廠商的機架式服務器、存儲設備、網絡設備、電力系統(tǒng)、溫濕度監(jiān)控,以及將最新的虛擬化技術和資產管理相結合,力登公司推出了全面提升數(shù)據中遠程管理的安全網關CommandCenter Secure Gateway,簡稱CC-SG。 在管理方面,IT 管理員可以通過單一的 Web 瀏覽器界面遠程管理各種虛擬和物理的 IT 基礎結構。例如:針對服務器管理員,通過 Dominion KX II KVM-over-IP 切換器或服務處理器(如iLO、DRAC、RSA)對刀片式機架服務器進行帶外 BIOS 級別的訪問。值得一提的是,針對數(shù)據中心服務器虛擬化的管理需求,CC-SG增加了獨有的虛擬化管理工具,CC-SG 集成了 VMware 環(huán)境,能夠支持與虛擬中心軟件、ESX 服務器和 VMotion 功能的連接,并提供了BIOS 級別的訪問。新的虛擬化功能包括簡化的虛擬化環(huán)境單點登錄 (Single Sign On) 訪問設置,并且可向虛擬主機發(fā)出虛擬電源命令的能力,以及通過單次點擊即可連接查看拓撲視圖的功能。 在安全方面,由于CC-SG 可以將各種采用Telnet、RDP以及串口設備統(tǒng)一接入到操作臺上,并采用單獨的網絡通道,這為各種服務器、存儲設備、交換機、防火墻、路由器和負責電力接入的PDU都提供集中式的訪問通道。同時,在 CC-SG 上可創(chuàng)建和存儲采用 MD5 雙向加密的服務帳戶密碼,用于所有帶內界面的遠程或本地驗證。當然,這些賬戶的操作信息都會被CC-SG記錄下來,并提供了詳細的審核跟蹤報告。這些安全措施,都為企業(yè)構建新一代安全保障系統(tǒng)起到了支撐作用,并對數(shù)據中心的物理架構、虛擬架構、以及云架構都提供了安全的遠程訪問通道。 本文出自:億恩科技【mszdt.com】 |