【天極網伺服器頻道8月19日消息】整合資源、成本控制、動態配置和動態遷移等因素正在推動大多數IT部門試驗某種形式的虛擬化平臺,推動虛擬化技術在資料中心的應用。 在雲計算等新興技術趨勢驅動下的大規模基礎設施讓虛擬化技術成為雲資料中心的必備元件。
然而虛擬化平臺正在面臨安全問題,虛擬化平臺增加了額外的一層安全要求。 向資料中心的虛擬機器遷移需要重新設計安全計畫和架構,可能引起的潛在問題包括:事件反應、虛擬化基礎設施、隔離區設計。
事實上,與虛擬平臺本身有關的風險仍然是不清楚的,因為目前對於內部管理程式和平臺安全還沒有大量的解決方案。 雖然從戰術方面看管理程式是資料中心中最不容易被利用的部分,但是,從戰略上看,管理程式是虛擬資料中心最誘人的攻擊目標,因為攻破這一點就可以訪問資料中心的多個虛擬系統。
企業應該分析自己使用的虛擬平臺的具體風險。 重要的是要知道這個架構的變化如何影響到現有的安全管理系統。 企業IT部門在向虛擬機器遷移或者應用虛擬機器之前還應該制定戰術的和戰略的安全計畫。 這些安全計畫是通過對現有的虛擬安全進行綜合分析實現的,同時還要計畫應付虛擬平臺的未來的安全威脅。 規劃以及當前架構和安全管理中的小的變化有助於防禦未來的管理程式和平臺級的虛擬化攻擊。
為了解決把虛擬化引進到資料中心所產生的安全問題,我們需要解決三種類型的虛擬化安全問題:當引進新的虛擬化技術時,資料中心增加了新的安全風險,例如,在一個管理管理程式中運行多個虛擬機器的風險;虛擬機器鏡像和客戶作業系統的安全; 物理安全設備的虛擬實例,例如,從一個物理防火牆和入侵防禦系統進入運行同樣服務的虛擬鏡像。
綜上所述,作為整個虛擬化安全架構的一部分,IT部門應該把重點放在三個虛擬化方面:按照位置分開虛擬機器;按照服務類型分開虛擬機器;在整個虛擬機器生命週期內實施有預見性的安全管理。
虛擬安全領域經常討論的問題之一是在隔離區使用虛擬化平臺。 經常看到一個物理主機在隔離區運行公共的和專有的虛擬機器。 在實踐上,這種架構沒有實體環境的架構那樣安全,因為這種架構的虛擬機器和物理機器共用運行環境。 虛擬平臺上的一切都是由相同的軟體共用和管理的。 從理論上說,這個共用的虛擬架構提供了從公共網路向專有網路機器實施直接攻擊的線路。
消除共用的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機器與專用的虛擬機器分開,在不同的主機上運行和管理這些虛擬機器。 所有公開的虛擬機器都應該放置在公開的主機伺服器上。 對於使用VMware公司的vCenter技術大規模實施虛擬化的企業來說,把公共資源與專用資源集群(許多組主機根據資源組成一個單一的管理池)分開也是很重要的。 例如,VMware公司的DRS軟體能夠在一個集群中的主機之間動態遷移虛擬機器。 如果公共的和專有的主機在一個集群中是共用的,一個DRS事件就可以根據資源的需求把一個專用的虛擬機器遷移到公共主機伺服器,從而取消了任何資源區分的好處。
一旦根據位置分開虛擬資源之後,下一步就是根據任務或者服務分開虛擬機器。 換句話說,就是讓全部的伺服器虛擬機器在一個資源池和集群中,讓所有的應用虛擬機器在另一個資源池或者集群中。 同在隔離區內分開位置一樣,這個架構旨在限制那些與虛擬化平臺有關的風險。 如果一個攻擊者能夠攻破一個客戶虛擬機器,在同一個物理主機上運行的其它客戶機預計也會被攻破,因為它們共用同樣的運行環境。 這對於企業業務的威脅是巨大。
另一方面,如果一個主機伺服器正在所有的應用層運行(這些應用層包括應用程式伺服器和資料庫伺服器),攻擊者通過利用前端網路瀏覽器漏洞能夠獲得後端資料庫的存取權限。 這樣的結果是應用伺服器也將面臨很大的安全威脅。 根據服務分開虛擬機器有助於緩解這個風險,方法是隔離虛擬應用程式並且讓虛擬機器保持與具體的硬體資源和集群的聯繫。
虛擬機器和平臺的主要好處之一是能夠方便地創建、移動和撤銷虛擬機器。 當需要新的服務的時候,可以創建虛擬機器或者提取存檔的虛擬機器,然後根據需要進行設置。 隨著需求的增長,人們可以克隆虛擬機器或者動態地為虛擬機器分配額外的資源。 隨著需求的減少,人們可以撤銷這些虛擬機器的設置,使這些虛擬機器不再消耗資源。 虛擬機器的創建、移動和銷毀過程構成了虛擬機器的生命週期。
虛擬機器在生命週期的每一個步都容易受到安全威脅。 當從頭開始創建新的虛擬機器的時候,重要的是要保證虛擬機器使用最新的安全補丁和軟體。 當克隆虛擬機器鏡像和移動虛擬機器的時候,重要的是保持每一個虛擬機器的穩定狀態,以便了解這些虛擬機器是否需使用了最新的補丁或者是否需要使用補丁。
隨著時間的推移,很容易重複地克隆一個使用了補丁的虛擬機器鏡像,最終使各種虛擬機器保持各種補丁水準。 由於鏡像存儲很長時間沒有使用,這些虛擬機器可能會過時,需要在使用的間歇時間裡離線使用補丁,以保證它們在下一次啟動的時候盡可能是安全的。 同遷移的虛擬機器一樣,資產管理對於銷毀虛擬機器和防止閒置的虛擬機器在資料中心蔓延成為未知威脅的攻擊目標是非常重要的。
總之,虛擬化技術在帶給資料中心運維方便的同時,安全問題也隨之出現。 在虛擬機器和物理機並存的環境下,資料中心運維面臨新的挑戰。 如何實現虛擬化下資料中心的高效運轉,成為資料中心管理人員新的課題。
網上商城商品/規格/促銷價格(作者:李祥敬責任編輯:李祥敬)Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
