数据中心虚拟化安全隐患 十步监控预防
来源:asp之家 发布时间:2009-10-21 18:05:00
虚拟服务器是有很多好处,但它的安全问题完全暴露了吗?如何确保安全性?可以采用下面十个积极步骤。
去年,数据中心虚拟化方面的重大问题还是“该技术可节省多少资金和时间?”而到今年,这个问题将变成“采用该技术,我们会有多安全?”这是一个极难回答的问题。
一大批拼命推销虚拟化产品和服务的厂商、顾问在风险及如何防范风险方面存在相左的观点。同时,一些安全研究人员也在大肆宣传理论上存在的风险,比如可能会出现的恶意软件。市场研究公司伯顿集团的高级分析师Chris Wolf说: “现在虚拟化方面的动静很大,让人晕头转向。”
许多IT部门表示,在去年开始创建成千上万个新的虚拟机时,他们认为运行速度比其他因素(如安全规划)更重要。IDC公司负责企业系统管理软件的研究主任Stephen Elliott说: “安全是虚拟化扩建过程中被遗忘的一个角落。要是想想现在虚拟机的数量,确实挺让人担忧。”据IDC声称,如今,员工总数不少于1000人的公司当中有75%在使用虚拟化技术。
Gartner公司的副总裁Neil MacDonald在去年10月举办的Symposium/ITxpo大会上预测,到2009年,60%的生产虚拟机安全性将不如物理服务器。
安全专家Chris Hoff认为,到目前为止,围绕虚拟化安全的讨论大部分都是片面的。他是优利系统公司安全创新部门的首席架构师。其实应该这么考虑: “已经把知道的安全知识运用到了虚拟化环境中吗?我们应当确保构建的虚拟网络要与构建的物理网络一样可靠、安全。”
某些IT部门正在犯一个根本的错误:他们让服务器部门单枪匹马地开展虚拟化项目,没有让IT团队的安全、存储和网络专家参与进来。这会给虚拟化技术带来内在的安全问题缺陷。
伯顿集团的Wolf说:“虚拟化绝大部分靠规划,而规划必须让全部团队参与进来,包括网络、安全和存储等团队。”而事实上,大多数IT团队在迅速推进虚拟化的项目,安全方面的工作跟不上。如果错失了与所有专家一起规划的大好机会,那该怎么办呢?Wolf说:“安全方面想迎头赶上,不妨从认真审查虚拟基础设施入手,这要借助工具或者顾问。”
下面是企业为了加强虚拟机安全可以采取的十个积极步骤:
十步监控预防数据中心虚拟化安全隐患一、控制虚拟机的数量
创建虚拟机只要短短几分钟,但虚拟机数量越多,面临的安全风险也越大,所以,最好能够跟踪所有的虚拟机。
Arch Coal公司负责IT的CIO Michael Abbene说:“我们先对很不重要的测试和开发设备进行了虚拟化处理,然后转向一些不太重要的应用服务器。因为一直很成功,所以我们把目标放在比较重要的服务器上,但这么做会加大风险系数。”该公司目前大约有45个虚拟机,包括活动目录服务器以及几台应用服务器和Web服务器。
那么,如何控制服务器数量激增?一个方法是: 创建虚拟服务器要像创建物理服务器一样严格。在Arch Coal公司,IT团队对创建新虚拟机的审批很严。“无论是物理服务器还是虚拟服务器,都要通过同样的流程才能获得批准。”Arch Coal的微软系统管理员Tom Carter说。
为此,Arch Coal的IT部门通过一个委员会(由服务器和存储等不同部门的IT员工组成,实现轮岗制)批准或者否决申请。这意味着应用开发部门的人员根本无法擅自构建VMware服务器,不过他允许开发人员提出要求。
专家认为,虚拟机数量激增是一大问题,会导致管理、维护性能及配置供应的能力出现滞后。“另外,如果虚拟机的数量超出了控制范围,就会出现意料不到的管理成本。”Tom Carter说。
十步监控预防数据中心虚拟化安全隐患二、运行更多流程
虚拟化技术最吸引人的也许在于速度: 只要几分钟就能创建虚拟机,可以轻松移动,只需要一天而不是几周即可提供新的计算功能。但IDC的Elliott认为,放慢节奏,认真考虑虚拟化成为现有IT流程的一部分,就能够从根本上预防安全问题。
Elliott说:“流程至关重要。考虑虚拟化时不仅要站在技术的角度,还要站在流程的角度。”举例说,如果使用ITIL来指导IT流程,就要考虑虚拟化是否适合流程框架。如果使用其他IT最佳实践,也要考虑虚拟化的适应性。
Hoff举例说:“如果要加强服务器安全,就应当对虚拟服务器采取与物理服务器同样的一套做法。”
在Arch Coal公司,Abbene的IT团队就是这么做的。Abbene说:“我们确保物理服务器安全的最佳实践运用到了每一个虚拟机上。”加强操作系统安全、在每一个虚拟机上运行反病毒软件、确保落实补丁管理,这些措施使得虚拟机具有同样的安全流程。
猜你喜欢
- 1、先修改member\do.php line:3 &nb
- 一个网站数据完全采集,目前大概3w条,没有生成tag 所以taglist这个表中没有内容 我就不用清理这个了下面看我的步骤原始图没有截下来1
- 酷影小何是我在网上用得最多的名字,我从2003年开始接触计算机网络,以前都是做免费的个人主页,2006年接触kingcms后,在大S的影响下
- 今天登录google adsense后台,发现Google的搜索广告多出了一项,从样式图片来看,很像百度以前推出的搜索框:文字描述中我们可以
- 日前, 百度旗下网络购物平台“有啊”正式上线其B2C旗舰店频道“名品&r
- DDOS攻击的重心是堵塞服务器,给域名解析访问造成困难,被攻击后我们可以采用以下方法:第一步,用一切方法告诉你的网友,通过IP来打开主页。这
- Windows操作系统的IIS是大家最常用的Web服务器之一。IIS功能强大、简单易用,但也容易受到恶意攻击,它的安全性一直是大家谈论的焦点
- 不久前有一些以前的学员问我很多关于百度竞价方面的问题,因为网络上一直也没看到什么系统的教程,所以一直想把这方面的东西整理起来跟大家分享一下,
- 在众多网络应用中,FTP(文件传输协议)有着非常重要的地位。Internet中一个十分重要的资源就是软件资源,而各种各样的软件资源大多数都放
- Godaddy主机用户想要把某个RSSfeed重新定位到另外一个地方的一个新的feed,需要在redirecting .htaccess文档
- 各位 Google AdSense 发布商您好,如果10月份您选择的付款方式为西联汇款,现在开始您就可以去领取您的西联汇款的收入了!领取西联
- 做站是可以取巧的,但取巧是无法成大事的,所以要一步一步脚踏实地的走,脚踏实地的做,用自己的勤奋来耕耘自
- 俗称“脚本小鬼”的家伙 是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,
- 四、Sendmail的配置配置Sendmail的步骤如下。1、在/etc/mail目录下创建access文件,内容如下:127.0.0.1
- 关于jdfwkey问题的讨论最近我的网站经常出现jdfwkey,形式如?jdfwkey=csscf,很多朋友可能也遇到过,可能不太清楚是什么
- Google高级副总裁大卫德鲁蒙德在Google官方博客发布文章“新的中国策略(更新)”,声明停止在 Google.cn 过滤审查搜索结果,
- CMS系统促进着Web2.0的发展,根据权威机构的调查,一个网站80%左右的流量都是来源于搜索引擎的,所以一个网站到底做的好与坏不在于网站建
- 2009年10月16日,纳思达产业集团与爱必富品牌联盟正式签署合作协议。此项合作,代表中国通用耗材企业正从过去主要是为国外客户贴牌生产,转向
- 原来qmail系统的邮箱一天起码要收十几份垃圾、病毒邮件,实在是比较烦,不是很喜欢qmail,特别是日志,让人不知所云,所以干脆考虑更换邮件
- 谢文、keso、麦田新年对话:社会化网络和web2.0时间:2007年12月17日地点:北京罗马花园附近芝兰轩茶馆参加人:谢文、洪波(Kes