数据中心虚拟化安全隐患 十步监控预防(3)
来源:asp之家 发布时间:2009-10-21 18:05:00
十步监控预防数据中心虚拟化安全隐患六、留意存储资源
有些企业在SAN上提供过多的存储资源,这就可能错误地让虚拟机的共享区域成为SAN的一部分。
如果使用VMware移动虚拟机的工具VMotion,会在SAN上分配一些分区存储资源。 但还要细化存储资源的分配,就像在物理环境下那样。展望未来,N-port ID虚拟化技术是一个选择,这项技术可以只为一个虚拟机分配存储资源。
十步监控预防数据中心虚拟化安全隐患七、隔离网段
企业走上虚拟化道路,不该忽视与安全有关的网络流量风险。但其中一些风险很容易被忽视,如果在进行虚拟化规划时没有网络和安全人员参与,更是如此。Wolf说:“许多企业只是把性能作为合并服务器的度量标准。”
举例说,有些CIO绝对不允许任何虚拟服务器出现在“非军事区(DMZ)”。(DMZ是存放外部服务到互联网的子网络,就像电子商务服务器一样,它在互联网和局域网之间增加了缓冲区)。
Wolf说,要是DMZ里面果真有几个虚拟机,就要放在与一部分旧系统(如关键的Oracle数据库服务器)分开在的独立网段上。
Abbene说,在Arch Coal公司,IT团队一开始就考虑到了DMZ。他们把虚拟服务器部署在内部局域网上,不面向公众。Abbene说:“这是一个关键的决定。”举例说,公司在DMZ里面有几台安全的FTP服务器以及几台从事简单电子商务的服务器,公司不打算把虚拟机部署到里面。
十步监控预防数据中心虚拟化安全隐患八、注意交换机
什么时候交换机不是交换机?Wolf说:“有些虚拟交换机的工作方式类似集线器,每个端口镜像到虚拟交换机上的所有其他端口。”特别是如今的微软Virtual Server带来了这个问题。VMware的ESX Sserver不会,思杰的XenServer也不会。他说:“人们一听到‘交换机’,就认为有隔离机制。这其实视厂商而定。”
十步监控预防数据中心虚拟化安全隐患九、监控“非法”虚拟机
要担心的不仅仅是服务器。Wolf说:“最大的威胁在客户端上—非法虚拟机(rogue VM)。” 那么,什么是非法虚拟机?用户能够下载及使用VMware Player这样的免费程序,会让桌面和笔记本电脑用户可以运行由VMware Workstation、Server或者ESX Server创建的任何虚拟机。
如今许多用户喜欢在桌面或者笔记本电脑上使用虚拟机分开各部分工作,或者分开公事与私事。 有些人使用VMware Player在一个机器上运行多个操作系统。 比如使用Linux作为基本操作系统,却创建一个虚拟机来运行Windows应用。
Wolf说:“这些虚拟机甚至没有打上相应的补丁。那些系统暴露在网络上因而所有未加管理的操作系统易受攻击。”
这会增添很多风险:运行非法虚拟机的机器可能会传播病毒。更糟糕的是,可能还会传播到物理网络上。举例说,有些人就很容易加载DHCP服务器以便分配虚假IP地址。这实际上就是一种拒绝服务攻击。至少,会把IT资源浪费在查明问题上。甚至有可能是简单的用户错误,也会给网络带来不必要的负担。
那么如何防范非法虚拟机呢?首先应当加以控制,规定谁可以获得VMware Workstation(因为创建虚拟机需要它)。IT部门还可以使用群组安全策略来防止某些可执行程序运行,比如安装VM Player所需的可执行程序。另一个选择是,定期审查用户的硬驱。需要找出装有虚拟机的机器,然后标记出来,以便IT部门采取适当行动。
这是不是已成了用户和IT部门之间的另一个争论点—精通技术的用户需要在公司能像在家里那样使用虚拟机?Wolf说还没有。他说:“大部分IT部门对此置之不理。”
如果允许用户在电脑上运行虚拟机,VMware的Lab Manager及其他管理工具可以帮助IT部门控制及监管这些虚拟机。
十步监控预防数据中心虚拟化安全隐患十、做好虚拟化安全预算
IDC的Elliott说:“确保分配好虚拟化安全和管理方面的预算。”Arch Coal公司的Abbene指出,可能不需要在安全预算中为虚拟化安全单列预算,但全部安全预算最好为它留出足够多的资金。
另外,在估算虚拟化的投资回报时要留意安全成本。Hoff指出,对越来越多的服务器进行虚拟化处理,并不会使安全开支有所降低,因为需要运用现有的安全工具来管理每个虚拟机。如果没有预料到这笔开支,可能会减少投资回报。
据Gartner声称,这是目前常犯的一个错误。据Gartner的副总裁Neil MacDonald声称,2009年,部署的虚拟化技术大约有90%面临未预料到的成本,比如安全成本等,这会影响投资回报。
猜你喜欢
- 10月13日消息,记者获悉,第三方支付服务商——首信易支付 (PayEase) 近日荣获 &
- 用过多的Flash要知道,由于搜索引擎技术原因,无法检索到Flash中的内容,因此,在网站中使用过多的Flash会适得其反。而且网站使用过多
- 10月12日消息,记者获悉,中国雅虎近日正式推出改版完成的新首页。新首页一推出就引起广泛关注。不光版块、布局等回归“雅虎
- LoveBlogEarn 同学在博客留言,说到域名转发是不是能提高PR?因为sinoblog.net这个域名就是转发到sinoblog.or
- 2009年,新中国成立60周年。60年的成长道路充满艰辛和坎坷,但是在党的英明领导下,我国坚持改革开放、自主创新,发扬中华名族不怕苦不怕累的
- 使用黑帽SEO的人,心里或多或少都存在一个假设,那就是搜索引擎没自己聪明。在前几天的搜索引擎怎样判断垃圾留言这个帖子里,就有读者认为我把搜索
- 为什么google adsence中文广告价格这么低?前段时间做了个英文站,没有什么流量,每天就有50ip的样子,一看google adse
- 核心提示:404错误页面。总之就是链接不存在相应的网页。那么404错误页面对seo有什么影响吗?有什么好利用的呢?出现错误页面的情况,一般有
- Lighttpd Apache Apache还是Lighttpd?Lighttpd (也称Lighty),用于高性能
- MDaemon是一款功能非常强大的邮件服务器软件,可运行于Windows9x/Me和WindowsNT/XP/2000/2003操作系统,特
- SpamAssassin的打分标准见http://spamassassin.org/tests.html,默认的标准可能并不适合我们,比如S
- 百度联盟的主题推广由于后台的功能不是很强大,所以提供给用户的优化和比较的方式不是很灵活,大部分发布者很少考虑百度主题推广的广告优化。实际上对
- V5MALL全线免费,再推网上商城炙不久之前相续在上海豫园商城、青岛特色街取得辉煌战果的上海威博网络技术有限公司,再其V5SHOP网店系统开
- 在网络越来越普及、网民的力量越来越强大的今天,信息页面已经进入亿万级的级别,在这样的情况下,网民便更为迫切地希望能以一种更为便捷的方式来获取
- 本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.
- 昨天介绍的Windows Server 2003下的IIS和Apache性能比较,其实Apache在Linux环境下的性能还是很不错的,我之
- Dedecms新版本(V5系列)模板标记非常灵活,对于很多新人是一个头疼的问题,天涯今天就来和大家谈谈这些标记,为以后大家修改、制作模板打下
- 网站优化设计是从网站的基本方向入手,着重网站的设计重点,达到完美设计网站的特点,综述这就叫网站优化设计,侯庆龙就总结了以下需要注意的地方,希
- 什么是SNS?SNS,全称Social Networking Services,即社会性网络服务,专指旨在帮助人们建立社会性网络的互联网应用
- 有很多发布商写信来问怎样才算鼓励点击,还有一些发布商在接到我们的违反政策警告的时候甚至并不认为自己在鼓励点击,现在我们就来说说“鼓励点击”。