監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

十一大措施確保虛擬化數(shù)據(jù)中心安全

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

毫無(wú)疑問(wèn),虛擬化在數(shù)據(jù)中心的快速應(yīng)用有許多好處。但是,這并不意味著沒(méi)有風(fēng)險(xiǎn)。有些風(fēng)險(xiǎn)與安全有關(guān),盡管不能說(shuō)虛擬化就有安全風(fēng)險(xiǎn)。不過(guò),許多具體的風(fēng)險(xiǎn)僅在虛擬化環(huán)境中出現(xiàn)。

許多安全專家強(qiáng)烈建議重要的網(wǎng)絡(luò)和安全設(shè)備不能部署在虛擬平臺(tái)上,而要在專用的機(jī)器上運(yùn)行。身份識(shí)別/目錄服務(wù)和防火墻是一些重要的網(wǎng)絡(luò)服務(wù)。盡管有專門保護(hù)虛擬化平臺(tái)上的這些服務(wù)的安全解決方案,但是,最好不要冒這個(gè)不必要的風(fēng)險(xiǎn),除非你必須要這樣做。

虛擬化環(huán)境有自己的特殊性,因此,你用來(lái)保護(hù)虛擬化數(shù)據(jù)中心的安全措施也許不能同時(shí)滿足虛擬化環(huán)境和非虛擬化環(huán)境的需求是毫不奇怪的。事實(shí)上,你在采用虛擬化之后是有許多東西需要學(xué)習(xí)的。如果你已經(jīng)開(kāi)始應(yīng)用虛擬化并且沒(méi)有制定安全政策,虛擬化也許會(huì)成為推動(dòng)你加強(qiáng)數(shù)據(jù)中心安全的一個(gè)推動(dòng)因素。

虛擬化的安全問(wèn)題

保護(hù)一個(gè)虛擬化環(huán)境的安全也許不需要許多特殊的手段。但是,仍有一些專門在虛擬化環(huán)境中出現(xiàn)的安全漏洞,或者在虛擬化環(huán)境中常見(jiàn)的安全漏洞。虛擬化環(huán)境中的主要安全漏洞如下:

1. 管理程序是一個(gè)故障點(diǎn)。管理程序(或者平臺(tái))承載不同的應(yīng)用程序,特別容易受到攻擊,因?yàn)槿绻芾沓绦虮还テ?,你的全?臺(tái)服務(wù)器或者10臺(tái)服務(wù)器就在一次攻擊中全部崩潰。管理程序還能被劫持,從而使黑客能夠控制那臺(tái)機(jī)器上的全部虛擬服務(wù)器。

2. 拒絕服務(wù)攻擊更容易。許多虛擬服務(wù)器在一臺(tái)物理服務(wù)器上運(yùn)行并且共享資源的事實(shí)意味著拒絕服務(wù)攻擊會(huì)容易。除非在設(shè)計(jì)時(shí)就想到要專門對(duì)付拒絕服務(wù)攻擊,否則,每一個(gè)虛擬服務(wù)器都應(yīng)配置有限的安全措施以應(yīng)付攻擊者。如果這個(gè)攻擊非常強(qiáng)大,無(wú)論是不是分布式的攻擊,服務(wù)器被攻破的可能性都是非常高的。

3. 主機(jī)內(nèi)通訊。主機(jī)內(nèi)通訊是指一個(gè)物理平臺(tái)中的服務(wù)器之間的通訊。這是虛擬化帶來(lái)的另一個(gè)問(wèn)題。

4.一臺(tái)主機(jī),多臺(tái)虛擬服務(wù)器。在非虛擬化環(huán)境中,你有一臺(tái)主機(jī),就是一臺(tái)服務(wù)器。你檢查這個(gè)主機(jī)的安全就可以了。采用虛擬化,你需要檢查主機(jī)本身的安全和所有的虛擬服務(wù)器,包括當(dāng)前離線的那些虛擬服務(wù)器。如果你忘記其中一個(gè)虛擬服務(wù)器,這個(gè)主機(jī)上的所有的虛擬服務(wù)器都會(huì)有風(fēng)險(xiǎn)(當(dāng)然,網(wǎng)絡(luò)的其余部門也會(huì)有風(fēng)險(xiǎn))。此外,當(dāng)一臺(tái)服務(wù)器遭到攻擊時(shí),其它服務(wù)器和主機(jī)本身也都會(huì)有風(fēng)險(xiǎn),特別是如果這些服務(wù)器都沒(méi)有設(shè)置隔離功能的話。把許多雞蛋放在一個(gè)籃子里確實(shí)方便,但是,這個(gè)風(fēng)險(xiǎn)是不容忽視的。

5. 動(dòng)態(tài)的IP地址。當(dāng)你在不同的機(jī)器上部署了許多虛擬化服務(wù)器的時(shí)候,這可能會(huì)導(dǎo)致這些虛擬服務(wù)器使用的IP地址頻繁變化。除了IP地址的沖突之外,這還能導(dǎo)致基于IP地址的安全檢測(cè)措施失敗。因此,當(dāng)你使用基于IP地址的保護(hù)措施的時(shí)候,你一定要反復(fù)檢查你的IP地址列表是否與實(shí)際機(jī)器的IP地址匹配。

6. 檢查你使用的鏡像。虛擬化把部署變成了一塊蛋糕。你只需要把服務(wù)器的鏡像拷貝到不同的主機(jī)上,它就部署完了。然而,你也許想不到要檢查這個(gè)鏡像。你也許認(rèn)為這個(gè)鏡像是干凈的和沒(méi)有安全風(fēng)險(xiǎn)的,并且勇敢地使用這個(gè)鏡像。遺憾的是,這個(gè)鏡像也許有巨大的安全風(fēng)險(xiǎn),因此,一定要首先對(duì)鏡像進(jìn)行安全檢查,然后再部署它。

虛擬化確實(shí)存在一些具體問(wèn)題。這些問(wèn)題在非虛擬化環(huán)境中是沒(méi)有的。然而,如果你知道如何解決這些問(wèn)題并且及時(shí)采取充分的措施,你就能夠在沒(méi)有風(fēng)險(xiǎn)的情況下享受虛擬化的好處。你需要采取的某些措施是非常明顯的,你也許已經(jīng)猜到了要采取什么措施。然而,有些措施不是那樣明顯,但是卻具有同樣的重要性。

保證虛擬化數(shù)據(jù)中心安全的措施

當(dāng)安全成為人們擔(dān)心的問(wèn)題的時(shí)候,人們永遠(yuǎn)也不敢肯定有足夠的措施就夠用了。盡管采取了所有的措施并且按照最佳做法和指南去做,以便讓網(wǎng)絡(luò)不可能從外部或者內(nèi)部突破,但是,現(xiàn)實(shí)仍然是你對(duì)網(wǎng)絡(luò)安全采取的措施越多越好。下面是保護(hù)虛擬化數(shù)據(jù)中心安全的一些基本步驟。

1. 修改你的安全政策。你也許很想知道為什么安全措施的列表從這一點(diǎn)開(kāi)始。因?yàn)樵S多技術(shù)人員忽略程序問(wèn)題,所以有必要首先提出管理規(guī)定。因此,在你決定采取什么措施保護(hù)你的數(shù)據(jù)中心的安全之后,你要修改你的安全政策以便保證這些安全政策包含充分的規(guī)定。然后,你要應(yīng)用這些修改的措施并且把最新的修改通知你的員工。與這些有修改有關(guān)的每一個(gè)人,無(wú)論他或者她僅僅是一個(gè)用戶還是對(duì)有關(guān)機(jī)器擁有管理員權(quán)限的人,都應(yīng)該知道這些變化。此外,如果你沒(méi)有關(guān)于安全政策的書面規(guī)則和規(guī)定,你現(xiàn)在就把它們寫下來(lái)。

2. 保證主機(jī)操作系統(tǒng)的安全。由于主機(jī)與管理程序一樣是一個(gè)單個(gè)故障點(diǎn),你需要采取一切必要措施最大限度保證操作系統(tǒng)的安全。這個(gè)步驟包括安裝補(bǔ)丁、更新軟件,這與保證非虛擬化主機(jī)的安全沒(méi)有什么區(qū)別。

3. 保證虛擬機(jī)操作系統(tǒng)的安全。在你保證主機(jī)安全之后,你還要保證虛擬機(jī)操作系統(tǒng)的安全。

4. 檢查所有的服務(wù)器是否安裝了必要的補(bǔ)丁。當(dāng)你在一臺(tái)機(jī)器上有10個(gè)虛擬服務(wù)器的時(shí)候,人工逐個(gè)檢查每一個(gè)虛擬服務(wù)器是一項(xiàng)乏味的工作,但是,你必須要進(jìn)行這種檢查。如果你使用了自動(dòng)化的補(bǔ)丁安裝程序,你可能會(huì)跳過(guò)一兩臺(tái)服務(wù)器,這將破壞整個(gè)主機(jī)的安全,甚至?xí)茐木W(wǎng)絡(luò)的安全。

5. 隔離和隔離區(qū)。隔離和隔離區(qū)是傳統(tǒng)的網(wǎng)絡(luò)安全最佳做法。你要把這些做法應(yīng)用到虛擬化環(huán)境中。一些專家建議說(shuō),你不應(yīng)該在隔離區(qū)外面或者在端點(diǎn)上設(shè)置虛擬機(jī)。不過(guò),這有點(diǎn)極端。你可以專門為虛擬化的服務(wù)器創(chuàng)建隔離區(qū)。虛擬化的隔離區(qū)與傳統(tǒng)的隔離區(qū)沒(méi)有多大區(qū)別。

6. 監(jiān)視主機(jī)之間的通訊。有許多工具能夠監(jiān)視同一臺(tái)主機(jī)上的虛擬服務(wù)器之間的通訊。你要利用這些工具,因?yàn)槿绻嬖诎踩珕?wèn)題的話,發(fā)現(xiàn)得越早越好。

7. 任務(wù)和權(quán)限。任務(wù)和權(quán)限是虛擬化方面的另一個(gè)問(wèn)題。你需要考慮許多特殊的風(fēng)險(xiǎn),例如,只有在你采取保護(hù)措施的時(shí)候才允許主機(jī)管理員拷貝虛擬服務(wù)器的鏡像。此外,每一個(gè)虛擬服務(wù)器的管理員不應(yīng)該擁有訪問(wèn)這臺(tái)機(jī)器上的其它服務(wù)器的權(quán)限,除非他們真正需要這個(gè)權(quán)限。當(dāng)一個(gè)人是主機(jī)的管理員同時(shí)也是虛擬服務(wù)器的管理員的時(shí)候,這不是一個(gè)問(wèn)題。但是,當(dāng)涉及到不同的人的時(shí)候,就需要明確權(quán)限。

8. 使用適當(dāng)?shù)能浖?。雖然幾年前還沒(méi)有專門的解決方案保證虛擬化環(huán)境的安全,但是,這種情況現(xiàn)在已經(jīng)成為歷史了。許多虛擬化解決方案廠商和第三方廠商都提供專門滿足虛擬化網(wǎng)絡(luò)需求的軟件。這些軟件能夠?yàn)槟闾峁┖艽蟮膸椭?/P>

9. 限制你的安全政策對(duì)IP地址的依賴?;贗P的安全對(duì)于非虛擬化的環(huán)境有許多局限性。但是,對(duì)于虛擬化環(huán)境來(lái)說(shuō),由于IP地址頻繁變化,這個(gè)局限性就有較大的風(fēng)險(xiǎn)。因此,如果你能夠盡可能地限制你使用的基于IP的保護(hù)機(jī)制,那對(duì)你是有益的。

10. 使用跨平臺(tái)安全管理。當(dāng)你能夠做到的時(shí)候,你要使用跨平臺(tái)安全管理。這有助于你避免許多潛在的危險(xiǎn),還能夠使不同種類的虛擬服務(wù)器農(nóng)場(chǎng)管理更加容易。

11. 不要忘記傳統(tǒng)的安全風(fēng)險(xiǎn)。最后,不要忘記傳統(tǒng)的安全風(fēng)險(xiǎn),如惡意軟件或者入侵檢測(cè)。還要考慮接入控制,記錄監(jiān)視等等,并且分別對(duì)每一個(gè)虛擬機(jī)單獨(dú)地采取這些措施。(IT專家網(wǎng))

發(fā)布:2007-04-21 14:06    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普長(zhǎng)春OA行業(yè)資訊其他應(yīng)用

長(zhǎng)春OA軟件 長(zhǎng)春OA新聞動(dòng)態(tài) 長(zhǎng)春OA信息化 長(zhǎng)春OA快博 長(zhǎng)春OA行業(yè)資訊 長(zhǎng)春軟件開(kāi)發(fā)公司 長(zhǎng)春門禁系統(tǒng) 長(zhǎng)春物業(yè)管理軟件 長(zhǎng)春倉(cāng)庫(kù)管理軟件 長(zhǎng)春餐飲管理軟件 長(zhǎng)春網(wǎng)站建設(shè)公司