十大步驟讓你的虛擬化數(shù)據(jù)中心固若金湯(2) |
發(fā)布時間: 2012/7/2 14:52:00 |
虛擬化數(shù)據(jù)中心安全步驟六:留意存儲資源
有些企業(yè)在SAN上提供過多的存儲資源,這就可能錯誤地讓虛擬機(jī)的共享區(qū)域成為SAN的一部分。 如果使用VMware移動虛擬機(jī)的工具VMotion,會在SAN上分配一些分區(qū)存儲資源。 但還要細(xì)化存儲資源的分配,就像在物理環(huán)境下那樣。展望未來,N-port ID虛擬化技術(shù)是一個選擇,這項技術(shù)可以只為一個虛擬機(jī)分配存儲資源。 虛擬化數(shù)據(jù)中心安全步驟七:隔離網(wǎng)段 企業(yè)走上虛擬化道路,不該忽視與安全有關(guān)的網(wǎng)絡(luò)流量風(fēng)險。但其中一些風(fēng)險很容易被忽視,如果在進(jìn)行虛擬化規(guī)劃時沒有網(wǎng)絡(luò)和安全人員參與,更是如此。Wolf說: “許多企業(yè)只是把性能作為合并服務(wù)器的度量標(biāo)準(zhǔn)。” 舉例說,有些CIO絕對不允許任何虛擬服務(wù)器出現(xiàn)在“非軍事區(qū)(DMZ)”。(DMZ是存放外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò),就像電子商務(wù)服務(wù)器一樣,它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))。 Wolf說,要是DMZ里面果真有幾個虛擬機(jī),就要放在與一部分舊系統(tǒng)(如關(guān)鍵的Oracle數(shù)據(jù)庫服務(wù)器)分開在的獨(dú)立網(wǎng)段上。 Abbene說,在Arch Coal公司,IT團(tuán)隊一開始就考慮到了DMZ。他們把虛擬服務(wù)器部署在內(nèi)部局域網(wǎng)上,不面向公眾。Abbene說: “這是一個關(guān)鍵的決定。”舉例說,公司在DMZ里面有幾臺安全的FTP服務(wù)器以及幾臺從事簡單電子商務(wù)的服務(wù)器,公司不打算把虛擬機(jī)部署到里面。 虛擬化數(shù)據(jù)中心安全步驟八:注意交換機(jī) 什么時候交換機(jī)不是交換機(jī)?Wolf說: “有些虛擬交換機(jī)的工作方式類似集線器: 每個端口鏡像到虛擬交換機(jī)上的所有其他端口。”特別是如今的微軟Virtual Server帶來了這個問題。VMware的ESX Sserver不會,思杰的XenServer也不會。他說: “人們一聽到‘交換機(jī)’,就認(rèn)為有隔離機(jī)制。這其實視廠商而定。” 微軟聲稱,交換機(jī)問題會在即將發(fā)布的Viridian服務(wù)器虛擬化軟件產(chǎn)品中得到解決。 虛擬化數(shù)據(jù)中心安全步驟九:監(jiān)控“非法”虛擬機(jī) 要擔(dān)心的不僅僅是服務(wù)器。Wolf說: “最大的威脅在客戶端上—非法虛擬機(jī)(rogue VM)。” 那么,什么是非法虛擬機(jī)?用戶能夠下載及使用VMware Player這樣的免費(fèi)程序,會讓桌面和筆記本電腦用戶可以運(yùn)行由VMware Workstation、Server或者ESX Server創(chuàng)建的任何虛擬機(jī)。 如今許多用戶喜歡在桌面或者筆記本電腦上使用虛擬機(jī)分開各部分工作,或者分開公事與私事。 有些人使用VMware Player在一個機(jī)器上運(yùn)行多個操作系統(tǒng)。 比如使用Linux作為基本操作系統(tǒng),卻創(chuàng)建一個虛擬機(jī)來運(yùn)行Windows應(yīng)用。 Wolf說: “這些虛擬機(jī)甚至沒有打上相應(yīng)的補(bǔ)丁。那些系統(tǒng)暴露在網(wǎng)絡(luò)上因而所有未加管理的操作系統(tǒng)易受攻擊。” 這會增添很多風(fēng)險: 運(yùn)行非法虛擬機(jī)的機(jī)器可能會傳播病毒。更糟糕的是,可能還會傳播到物理網(wǎng)絡(luò)上。舉例說,有些人就很容易加載DHCP服務(wù)器以便分配虛假IP地址。這實際上就是一種拒絕服務(wù)攻擊。至少,會把IT資源浪費(fèi)在查明問題上。甚至有可能是簡單的用戶錯誤,也會給網(wǎng)絡(luò)帶來不必要的負(fù)擔(dān)。 那么如何防范非法虛擬機(jī)呢?首先應(yīng)當(dāng)加以控制,規(guī)定誰可以獲得VMware Workstation(因為創(chuàng)建虛擬機(jī)需要它)。IT部門還可以使用群組安全策略來防止某些可執(zhí)行程序運(yùn)行,比如安裝VM Player所需的可執(zhí)行程序。另一個選擇是,定期審查用戶的硬驅(qū)。需要找出裝有虛擬機(jī)的機(jī)器,然后標(biāo)記出來,以便IT部門采取適當(dāng)行動。 這是不是已成了用戶和IT部門之間的另一個爭論點(diǎn)—精通技術(shù)的用戶需要在公司能像在家里那樣使用虛擬機(jī)?Wolf說還沒有。他說: “大部分IT部門對此置之不理。” 如果允許用戶在電腦上運(yùn)行虛擬機(jī),VMware的Lab Manager及其他管理工具可以幫助IT部門控制及監(jiān)管這些虛擬機(jī)。 虛擬化數(shù)據(jù)中心安全步驟十:做好虛擬化安全預(yù)算 IDC的Elliott說: “確保分配好虛擬化安全和管理方面的預(yù)算。”Arch Coal公司的Abbene指出,可能不需要在安全預(yù)算中為虛擬化安全單列預(yù)算,但全部安全預(yù)算最好為它留出足夠多的資金。 另外,在估算虛擬化的投資回報時要留意安全成本。Hoff指出,對越來越多的服務(wù)器進(jìn)行虛擬化處理,并不會使安全開支有所降低,因為需要運(yùn)用現(xiàn)有的安全工具來管理每個虛擬機(jī)。如果沒有預(yù)料到這筆開支,可能會減少投資回報。 據(jù)Gartner聲稱,這是目前常犯的一個錯誤。據(jù)Gartner的副總裁Neil MacDonald聲稱,到2009年,部署的虛擬化技術(shù)大約有90%會面臨未預(yù)料到的成本,比如安全成本等,這會影響投資回報。 本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |