数据中心虚拟化安全隐患 十步监控预防(2)
来源:asp之家 发布时间:2009-10-21 18:05:00
十步监控预防数据中心虚拟化安全隐患三、利用安全工具
是否需要一套全新的安全和管理工具来保护虚拟化环境?不需要!
明智之举就是,从保护物理服务器和网络环境的一套现有安全工具入手,然后运用到虚拟环境。但一定要了解厂商是如何跟踪虚拟化风险、将来如何与其他产品进行集成的。
IDC的Elliott说:“保护物理环境的工具用于保护虚拟化环境是一种虚假的安全感。”同时他又说:“对虚拟化环境的新型安全工具而言,目前处于市场的早期阶段。这意味着必须对传统厂商以及潜在的新兴厂商施加压力。”
别以为平台层面的工具(如VMware的工具)足够好。要看一看新兴公司和传统管理厂商。对那些传统厂商施加压力,要求他们做更多的工作,并为他们提供指导。
马自达北美公司的CIO—Jim DiMarzio就在他的企业中采用了这项策略。与Arch Coal一样,马自达北美公司也在虚拟服务器的核心处运行VMware的ESX Server软件,最近一直在增加虚拟机的数量。DiMarzio说,到2008年3月会有150个虚拟机。
为了保护这些虚拟机的安全,DiMarzio决定继续使用现有的防火墙和安全产品,包括IBM的Tivoli Access Manager、思科防火墙工具以及赛门铁克的入侵检测系统(IDS)监控工具。
Arch Coal公司的Abbene及其团队也继续使用原有的安全工具,同时又在调查BlueLane 和Reflex Security等新兴公司的工具。Abbene说:“传统安全厂商正在奋起直追,他们在这方面落后于新兴公司。”
十步监控预防数据中心虚拟化安全隐患四、采用嵌入式管理程序
服务器上的虚拟机管理程序层充当虚拟机的基础。VMware近期宣布推出的ESX Server 3i虚拟机管理程序的独特之处在于不包括通用操作系统。出于安全上的考虑,它采用了精简设计,只占用32MB空间。
像戴尔和惠普这些硬件厂商表示,它们会在物理服务器上交付像VMware这种虚拟机管理程序的嵌入式版本。基本上,嵌入式虚拟机管理程序因为比较小,所以比较安全。
专家认为,嵌入式虚拟机管理程序是将来的一大趋势。不但从未涉足过这个领域的一些公司会提供嵌入式虚拟机管理程序,大多数服务器厂商也会提供。BIOS软件领域的市场领导厂商Phoenix Technologies近期宣布: 进入虚拟机管理程序领域,首先会推出名为HyperCore的产品,即面向桌面和笔记本电脑的虚拟机管理程序。用户开机后,可以使用网络浏览器和电子邮件等客户软件,无须等待启动Windows(HyperCore将被嵌入到电脑的BIOS中)。
虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能出现的结果是,许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。Hoff说:“无论是Phoenix还是其他厂商,会出现备受关注的竞争,这些虚拟机管理程序都希望成为下一个优秀的操作系统。”
十步监控预防数据中心虚拟化安全隐患五、限制访问虚拟机权限
如果赋予了访问虚拟机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限。伯顿集团的Wolf建议,要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是,有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。Wolf又说:“有些厂商甚至本身就没有遵守VMware针对VMware Consolidated Backup的最佳实践。”
Arch Coal的信息安全管理员Paul Telle说,总体而言,公司特别注意限制访问虚拟机的管理员权限。他指出,公司里只有一小部分人才拥有这样的权限。
应用开发人员应该只有最小的访问权限。“我们的应用开发人员可以访问共享区域,这是最小的访问权限。他们无法访问操作系统。”他说,这有助于控制虚拟机数量激增,同时增强了安全性。
猜你喜欢
- 概要本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Intern
- 3)IMAP4协议IMAP协议是Internet消息访问协议(Internet Message Access Protocol)的缩写,现在
- 傻瓜才花钱买没有价值的流量从最初的饱受质疑到如今逐渐走上正轨,谷歌中国打破了跨国公司在华总是失败的魔咒。日前,谷歌大中华区总裁李开复在广州对
- 如果您在近期登陆网上帐户,应该会发现在选择 AdSense 产品时,产品名称已改为中文!是的,在继推出一系列具有“中国特色”的产品特性之后,
- 要想学好SEO,那么我们就先从最基的搜索引擎语法学起,以下整理百度、雅虎、google三大搜索引擎的搜索高级语法及应用。百度搜索高级语法 1
- twig是TheWebInformationGateway的缩写,是一套利用PHP开发而成的软件,它可以让你轻松地架设一个网络邮局(WebM
- 通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问
- 作为站长,您对论坛中会员的积分消费一定很熟悉。当会员对积分的需求增大,通过发帖、上传附件等增加积分的活动不能满足时,他还可以通过支付宝购买积
- 可能用dedecms5.5的站长朋友遇到过注册会员是出现错误提示:注册失败,请检查资料是否有误或与管理员联系!的问题,现把我的解决办法写下来
- 前些天的一些突发事件,使得我发现了Z-Blog存在的一个很严重的性能问题,就是当单篇文章日访问量数万的时候,会有大量并发用户同时写Acces
- 11月12日,据境外媒体报道,比尔·盖茨(Bill Gates)近日表示,华尔街高管们的薪水“通常
- 作为Comsenz旗下的社区产品SupeSite 7.0 全面支持对 Discuz!、UCenter Home 的聚合功能。对于那些已经安装
- 前言其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。本文
- 代码如下【<a href="javascript:" onclick='window.
- 什么是黑帽SEO 笼统的说,所有使用作弊手段或可疑手段的,都可以称为黑帽SEO。比如说垃圾链接,隐藏网页,桥页,关键词堆砌等等。近一两年,最
- MDaemon是一款功能非常强大的邮件服务器软件,可运行于Windows9x/Me和WindowsNT/XP/2000/2003操作系统,特
- 在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的In
- 在本周二召开的RSA国际安全会展上,微软公司发布了其新款身份信息管理软件,微软并表示他们正与德国政府合作研制一种电子身份证,这种电子身份证可
- DedeCMS Error Warning,这个问题我也出现过,有办法解决,但能不能行得通还是个问题,如果你是独立服务器可以使用以下两个方法
- awk #对字段的处理是sed,grep不能实现的。awk -F , 'NR==1,NR==2 {print $1 $2}'