面對虛擬化環(huán)境 修修補補不是安全之道

申請免費試用、咨詢電話：400-8352-114

面對虛擬服務(wù)器和虛擬環(huán)境，擴(kuò)充型安全方案的問題出在哪里呢?太多的人忘了這一點：VMware公司的虛擬基礎(chǔ)架構(gòu)3(VI3)只是整個虛擬環(huán)境(VE)。假定虛擬環(huán)境的核心是VMware ESX、VMware ESXi，還可能包括VMware服務(wù)器(VMware Server)，但整個環(huán)境不是就只有這個核心。我們不妨考慮一下貴企業(yè)在保護(hù)虛擬化環(huán)境安全時所要考慮的許多組成部分。

VI3包括VMware集群(VMware Clustering)和獨立主機(jī)，而后者又集成了VMware動態(tài)資源調(diào)度(DRS)、VMware高可用性(HA)、VMotion和Storage VMotion等內(nèi)容。

接下來，還有貴企業(yè)里面使用的存儲技術(shù)，這是本地存儲還是遠(yuǎn)程存儲?比如iSCSI、基于網(wǎng)絡(luò)附加存儲(NAS)的網(wǎng)絡(luò)文件系統(tǒng)(NFS)、存儲區(qū)域網(wǎng)絡(luò)(SAN)物理設(shè)備，還是Lefthand Networks公司的虛擬SAN設(shè)備(Virtual SAN Appliance)。一旦我們討論存儲，就有必要討論虛擬機(jī)如何訪問存儲資源：是使用虛擬機(jī)的磁盤文件、使用與提供給虛擬化主機(jī)的邏輯單元號(LUN)對應(yīng)的原始磁盤圖、使用虛擬機(jī)里面的iSCSI啟動器、直接通過網(wǎng)絡(luò)訪問NAS或者SAN，還是使用光纖通道N_Port ID虛擬化(NPIV)?

如果涉及到網(wǎng)絡(luò)(幾乎總是這樣)，我們就有必要討論涉及的網(wǎng)絡(luò)，以及如何訪問虛擬機(jī)。虛擬機(jī)通過非軍事區(qū)(DMZ)來加以訪問嗎?還是通過生產(chǎn)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)或者測試網(wǎng)絡(luò)來訪問?虛擬機(jī)之間的聯(lián)系方式是采用某種特殊的應(yīng)用軟件、虛擬專用網(wǎng)(VPN)、安全套接字協(xié)議層隧道(SSL Tunnel)、遠(yuǎn)程桌面協(xié)議(RDP)、虛擬桌面基礎(chǔ)架構(gòu)(VDI)，還是基于VMware虛擬基礎(chǔ)架構(gòu)客戶端(VMware Virtual Infrastructure Client)網(wǎng)絡(luò)的遠(yuǎn)程控制臺?

為了創(chuàng)建及管理虛擬機(jī)，現(xiàn)在我們需要引入這個問題：如何管理整個環(huán)境?是通過使用VMware軟件開發(fā)包(SDK)的管理軟件、通過IBM的虛擬創(chuàng)新中心(VIC)連接到VMware的虛擬中心(Virtual Center)來管理?還是甚至通過單一主機(jī)、VMware實驗室管理器(VMware Lab Manager)、VMware生命周期管理器(VMware Life Cycle Manager)，還是通過整套服務(wù)控制臺的剩余部分來管理?

所有這一切還只是大致體現(xiàn)了組成虛擬環(huán)境的各部分，無論你是使用VMware公司的技術(shù)，還是使用其他廠商的技術(shù)。整個過程的每一步都需要虛擬化安全。虛擬環(huán)境部署后，可以添加擴(kuò)充型安全方案，但這充其量也就是權(quán)宜之計。應(yīng)當(dāng)自從一開始部署虛擬基礎(chǔ)架構(gòu)，就應(yīng)當(dāng)考慮到安全。

切記：虛擬化安全不但適用于虛擬環(huán)境，還適用于接觸虛擬環(huán)境或者與之連接的部分，包括防火墻、路由器、網(wǎng)絡(luò)、入侵檢測和預(yù)防系統(tǒng)(IDS/IPS)、存儲和交換結(jié)構(gòu)。交換架構(gòu)里面還包括虛擬局域網(wǎng)(VLAN)和N_Port ID虛擬化(NPIV)。

在每一個設(shè)計和實施步驟的虛擬化安全規(guī)劃工作可以幫助你處理一些重要問題，包括數(shù)據(jù)混合(data comingling)、網(wǎng)絡(luò)攻擊預(yù)防、調(diào)查取證、審計、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性。

這就是為什么你在考慮虛擬安全時，要考慮的絕不僅僅是ESX服務(wù)器.（比特網(wǎng)）