• 當前位置：創(chuàng)新互聯(lián) >> 常見問題 >> 虛擬主機 >> 主機管理 >> 服務器虛擬化安全管理的步驟二

服務器虛擬化安全管理的步驟二

• 作者：創(chuàng)新互聯(lián) 文章來源：虛擬主機 點擊數(shù)： 更新時間：2013-04-19
•        1. 注意你的儲存
  　　 某些企業(yè)如今在SAN上的儲存有些過度。 這不是總體儲存太多的問題，而是你有可能讓一臺錯誤的虛擬機共享了部分的SAN。
  　　 如果你使用的是VMotion，那么你就等于在SAN上分配了部分區(qū)域。 你要使那些儲存分配更加區(qū)位化。 N-port ID虛擬化就是一種可以讓IT分配儲存到虛擬機上的技術， 這是一種值得深入研究的技術。
  　　 2. 在網絡分區(qū)中確保良好的隔離
  　　 隨著企業(yè)走向虛擬化，他們不該忽略網絡流量上與安全有關的風險。 但某些風險的確容易被忽略，尤其是當IT管理人員在進行虛擬化規(guī)劃時沒有讓網絡和安全人員參與的情況下。 許多企業(yè)僅僅使用績效作為度量方式來加強整固， 在評估定位哪些應用服務器在物理箱中作為虛擬機的時候，IT團隊趨向于先注重那些急用的應用服務器，因為他們不想讓一個物理箱承擔太多的負荷。 他們之所以會忽略這一點，是因為他們忘記了網絡流量上的安全限制不允許他們將這些虛擬機定位在一起。
  　　 比方說，某些CIO決定不在DMZ建立任何虛擬服務器（DMZ是demilitarized zone的縮寫，這是一個儲存外部服務到互聯(lián)網的子網絡，就像電子商務服務器那樣，在互聯(lián)網和局域網之間增加一個緩沖）。
  　　 如果你在DMZ中有虛擬機，那么你或許要將它們劃分到物理分隔的網絡分區(qū)中，使它與其它系統(tǒng)分隔開，比如某種關鍵的甲骨文數(shù)據庫服務器。
  　　 Abbene說，在 Arch Coal公司，IT團隊會在一開始就考慮到DMZ的因素。
  　　 他們在內部局域網中展開虛擬服務器，不面向公眾。 這是早期一個關鍵的決定。 比方說，該公司在DMZ中有一些安全FTP服務器和一些從事簡單電子商務的服務器；那就沒有必要將虛擬機引入那塊領域。
  　　 3. 交換上的隱憂
  　　 某些虛擬交換機如今被當Hub來用： 在虛擬轉換機中，每一個端口都被映射到其它端口上。 Microsoft Virtual Server就是這樣。 而VMware的ESX Sserver則不會，Citrix XenServer也不會。
  　　 Microsoft聲稱交換機問題將會在即將發(fā)布的Viridian服務器虛擬化軟件中被解決。
  　　 4. 監(jiān)控桌面與筆記本電腦上的“流氓”虛擬機
  　　 服務器并不是你唯一要擔心的。 最大的隱患是在客戶端 – 流氓虛擬機。 什么是流氓虛擬機？ 用戶能夠下載并使用像VMware Player這樣的免費程序，這能讓桌面型和筆記本電腦用戶運行任何通過VMware工作站、服務器或ESX 服務器創(chuàng)建的虛擬機。
  　　 許多用戶現(xiàn)在喜歡在桌面或筆記本電腦上使用虛擬機來區(qū)分工作，或區(qū)分公事與私事。 有人使用VMware Player來運行多重系統(tǒng)；比如使用Linux作為基本系統(tǒng)，但是在Windows應用上創(chuàng)建虛擬機。 （IT團隊也能使用VM Player來評估虛擬化應用。
  　　 通常，這些虛擬機甚至都沒有達到補丁級別。 那些系統(tǒng)被暴露在網絡上。 所有這些未被管理的操作系統(tǒng)都在到處漂浮。
  　　 這會給你增添很多風險，那些運行流氓虛擬機的電腦能夠傳播病毒，甚至傳播到你的物理網絡上。 比方說，人們可以很輕松地裝載一個DHCP服務器來發(fā)送假的IP地址。 最終，你將浪費大量的IT資源來追蹤這些問題，它甚至只是由一個簡單的用戶錯誤所引起的。
  　　 那么你該如何避免流氓虛擬機呢？ 你應當從一開始就控制那些擁有VMware工作站的人（因為他們需要安裝虛擬機）。 IT也可以使用一個安全策略組來防止某種程度上的軟件執(zhí)行，比如針對那些需要安裝VM player的人。 另一個選擇是： 定期審查用戶的硬盤。 你要找出那些裝有虛擬機的電腦并將它們標記起來以備追蹤。
  　　 這會轉變成用戶和IT之間的又一個沖突，技術熟練的用戶希望能夠象在家里一樣的在公司電腦上使用虛擬機。 而大部分IT部門都疏忽了這一點。
  　　 如果你允許用戶在電腦上安裝虛擬機，那么像VMware Lab Manager和其它管理工具都能幫助IT控制并監(jiān)管那些虛擬機。
  　　 5. 在計劃預算時就考慮到虛擬化安全問題
  　　 確保在虛擬化安全和管理方面分配到適當?shù)念A算。 你或許不需單獨列出虛擬化安全預算，但你的總體安全預算需要覆蓋到這一部分。
  　　 同時，在你計算虛擬化投資回報的時候留意安全成本。 隨著虛擬服務器的越來越多，你的安全成本或許根本不會減少，因此你要運用現(xiàn)有的安全工具來管理每一個你所創(chuàng)建的虛擬機。 如果你沒有預料到這部分費用，那么它將吞噬掉你的投資回報。
• 網站空間一般常識問題解答 :上一篇
  虛擬主機與網絡、數(shù)據庫的相關知識 :下一篇