科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道加强数据中心虚拟化安全

加强数据中心虚拟化安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

中国IDC圈1月23日报道:虚拟服务器是有很多好处,但它的安全问题完全暴露了吗?如何确保安全性?可以采用下面十个积极步骤。

作者:计世网 来源:计世网 2008年8月11日

关键字: 数据中心 虚拟化安全 虚拟化

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  四 采用嵌入式管理程序

  服务器上的虚拟机管理程序层充当虚拟机的基础。VMware近期宣布推出的ESX Server 3i虚拟机管理程序的独特之处在于不包括通用操作系统。出于安全上的考虑,它采用了精简设计,只占用32MB空间。

  像戴尔和惠普这些硬件厂商近期表示,它们会在物理服务器上交付像VMware这种虚拟机管理程序的嵌入式版本。基本上,嵌入式虚拟机管理程序因为比较小,所以比较安全。

  专家认为,嵌入式虚拟机管理程序是将来的一大趋势。不但从未涉足过这个领域的一些公司会提供嵌入式虚拟机管理程序,大多数服务器厂商也会提供。BIOS软件领域的市场领导厂商Phoenix Technologies近期宣布: 进入虚拟机管理程序领域,首先会推出名为HyperCore的产品,即面向桌面和笔记本电脑的虚拟机管理程序。用户开机后,可以使用网络浏览器和电子邮件等客户软件,无须等待启动Windows(HyperCore将被嵌入到电脑的BIOS中)。

  虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能出现的结果是,许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。Hoff说: “无论是Phoenix还是其他厂商,会出现备受关注的竞争,这些虚拟机管理程序都希望成为下一个优秀的操作系统。”

  五 限制访问虚拟机权限

  如果赋予了访问虚拟机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限。伯顿集团的Wolf建议,要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是,有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。Wolf又说: “有些厂商甚至本身就没有遵守VMware针对VMware Consolidated Backup的最佳实践。”

  Arch Coal的信息安全管理员Paul Telle说,总体而言,公司特别注意限制访问虚拟机的管理员权限。他指出,公司里只有一小部分人才拥有这样的权限。

  应用开发人员应该只有最小的访问权限。“我们的应用开发人员可以访问共享区域,这是最小的访问权限。他们无法访问操作系统。”他说,这有助于控制虚拟机数量激增,同时增强了安全性。

  六 留意存储资源

  有些企业在SAN上提供过多的存储资源,这就可能错误地让虚拟机的共享区域成为SAN的一部分。

  如果使用VMware移动虚拟机的工具VMotion,会在SAN上分配一些分区存储资源。 但还要细化存储资源的分配,就像在物理环境下那样。展望未来,N-port ID虚拟化技术是一个选择,这项技术可以只为一个虚拟机分配存储资源。

  七 隔离网段

  企业走上虚拟化道路,不该忽视与安全有关的网络流量风险。但其中一些风险很容易被忽视,如果在进行虚拟化规划时没有网络和安全人员参与,更是如此。Wolf说: “许多企业只是把性能作为合并服务器的度量标准。”

  举例说,有些CIO绝对不允许任何虚拟服务器出现在“非军事区(DMZ)”。(DMZ是存放外部服务到互联网的子网络,就像电子商务服务器一样,它在互联网和局域网之间增加了缓冲区)。

  Wolf说,要是DMZ里面果真有几个虚拟机,就要放在与一部分旧系统(如关键的Oracle数据库服务器)分开在的独立网段上。

  Abbene说,在Arch Coal公司,IT团队一开始就考虑到了DMZ.他们把虚拟服务器部署在内部局域网上,不面向公众。Abbene说: “这是一个关键的决定。”举例说,公司在DMZ里面有几台安全的FTP服务器以及几台从事简单电子商务的服务器,公司不打算把虚拟机部署到里面。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章