| |
| 固若金湯 解析虛擬服務(wù)器10大安全隱患 |
更新時(shí)間:2007-11-20 10:24:47
(
編輯:隨云
)
|
內(nèi)容導(dǎo)航:
解析虛擬服務(wù)器10大安全隱患
2. 將你現(xiàn)有的流程應(yīng)用到虛擬機(jī)上
虛擬化最大的魅力或許就在于它的速度: 你可以在幾分鐘內(nèi)就創(chuàng)建一個(gè)虛擬機(jī),并在一天之內(nèi)就為你的商業(yè)部門提供新的動力。 這種快速推進(jìn)方式常能使人樂此不彼。 但在此之前你一定要慎重,要讓虛擬化成為你現(xiàn)有IT流程的一部分,并且將預(yù)防安全問題放在第一位,IDC的Elliott說道。 你會逐漸發(fā)現(xiàn)更多令人頭疼的管理問題。
“流程很重要,”他說。 “考慮虛擬化不僅要站在技術(shù)的角度,而且還要從流程出發(fā)。” “比方說,如果你是使用ITIL來引導(dǎo)你的IT流程,那么你要事先考慮如何將虛擬化融入到那個(gè)流程框架里,”Elliott建議說。 如果你是使用其它IT最佳實(shí)踐,也要考慮到融合的問題。
Hoff給我們舉了個(gè)例子: “如果你有一個(gè)服務(wù)器強(qiáng)化文件(指新服務(wù)器的安全和安裝標(biāo)準(zhǔn)),你就應(yīng)當(dāng)在你的虛擬服務(wù)器上依樣畫瓢”。
在Arch Coal公司,Abbene的IT團(tuán)隊(duì)也是這么做的: “我們采用最佳實(shí)踐來確保物理服務(wù)器的安全,并將此照搬到每一臺虛擬機(jī)上,”Abbene說道。 通過像強(qiáng)化操作系統(tǒng),在每一臺虛擬機(jī)上運(yùn)行防護(hù)軟件,確保補(bǔ)丁管理,保持虛擬箱符合同樣被應(yīng)用在物理服務(wù)器上的流程這樣的步驟,他說。
3. 從你現(xiàn)有的安全工具入手,但要保持謹(jǐn)慎
你是否需要一套全新的安全與管理工具來保護(hù)你的虛擬化環(huán)境? 不。從你現(xiàn)有的安全工具入手,將它們運(yùn)用到虛擬環(huán)境中會更務(wù)實(shí),Hoff說道。 但你要給廠商一點(diǎn)壓力,告訴他們該如何密切留意虛擬化的風(fēng)險(xiǎn),以及如何與其它產(chǎn)品保持集成。
“在應(yīng)用物理工具到虛擬化環(huán)境的安全問題上一直都有一種錯(cuò)誤的觀點(diǎn),”IDC的Elliott說道。 “市場上有些安全工具早就加入了虛擬化的概念。 這意味著你必須要給廠商更多的壓力”。
“不要以為平臺工具(比如VMware工具)對你來說已經(jīng)足夠,”Elliott說道。 “你要把目光瞄向遺留管理廠商。 給那些遺留廠商一點(diǎn)壓力,讓他們?nèi)ザ嘧鲆恍樗麄兲峁┲敢!?br>
Mazda North America的CIO Jim DiMarzio就在他的企業(yè)中采用了這套戰(zhàn)略。 如同Arch Coal公司一樣,Mazda NA在其虛擬服務(wù)器的核心上運(yùn)行了VMware的ESX Server 3軟件,并在最近增加了虛擬機(jī)的數(shù)量。 DiMarzio表示他希望在2008年3月前擁有150架虛擬機(jī)。他使用虛擬服務(wù)器來作為活動目錄服務(wù)器、打印服務(wù)器、CRM應(yīng)用服務(wù)器和網(wǎng)站服務(wù)器 – 最后這項(xiàng)是一個(gè)關(guān)鍵任務(wù)應(yīng)用,因?yàn)镸azda使用這些網(wǎng)絡(luò)應(yīng)用來向其所有的經(jīng)銷商提供信息,DiMarzio說道。
為了保障這些虛擬機(jī)的安全,DiMarzio決定繼續(xù)使用他現(xiàn)有的防火墻和安全產(chǎn)品,包括IBM的Tivoli Access Manager, Cisco firewall tools,以及Symantec's IDS monitoring tools。
在Arch Coal公司,Abbene與他的團(tuán)隊(duì)都在使用他們現(xiàn)有的安全工具,還有BlueLane 和 Reflex Security的調(diào)查工具。 “那些安全與變革廠商都在努力迎頭趕上,”Abbene說道。
比方說,BlueLane的VirtualShield就宣稱它甚至能在某些補(bǔ)丁沒有及時(shí)更新的情況下保護(hù)虛擬機(jī)的安全,自動掃描潛在的問題,升級問題區(qū)域,并保護(hù)它遠(yuǎn)離遠(yuǎn)程威脅的侵害。
Reflex Security的Virtual Security Appliance (VSA)是少數(shù)需要引起關(guān)注的產(chǎn)品之一,它對虛擬入侵檢測系統(tǒng)(IDS)尤其有用,在虛擬機(jī)所在的物理箱中為其添加了一層安全策略。 這可以防止Hypervisor免遭攻擊,Abbene的團(tuán)隊(duì)表示。
Abbene表示他的IT團(tuán)隊(duì)也討論了添加第二個(gè)內(nèi)部防火墻來進(jìn)一步隔離虛擬機(jī)的事宜,但他擔(dān)心這會對虛擬應(yīng)用的使用造成影響。
IDC的Elliott表示還有一些其它的虛擬化安全工具值得IT去關(guān)注: 比如PlateSpin就是一款著名的從物理到虛擬的工作負(fù)荷轉(zhuǎn)換和管理工具;Vizioncore是一款文件層次備份工具;Akorri是一款績效管理和工作負(fù)荷平衡工具;而最近被Dell收購的儲存廠商EqualLogic以其 iSCSI 儲存區(qū)域網(wǎng)絡(luò)(SAN)產(chǎn)品來優(yōu)化虛擬化而聞名。
4. 了解內(nèi)嵌式Hypervisor的價(jià)值
或許你早已聽說過“內(nèi)嵌式”Hypervisor,這是IT管理人必須了解的詞匯。 服務(wù)器上的Hypervisor層是虛擬機(jī)的根本。 VMware近期發(fā)布的ESX Server 3i就是從安全角度出發(fā)而進(jìn)行瘦身設(shè)計(jì)(32MB)的不包含OS的應(yīng)用。 (沒有OS也就意味著沒有OS維護(hù)上的麻煩。)
像DELL和HP等硬件廠商近期都表示他們會在服務(wù)器出貨時(shí)預(yù)裝這種內(nèi)嵌式VMwareHypervisor。 基本看來,內(nèi)嵌式Hypervisor因?yàn)橄鄬^小,所以更安全,IDC的Elliot表示。 “代碼庫越大,受攻擊的可能性也越大,這由你選擇的架構(gòu)而定。”
內(nèi)嵌式Hypervisor將會成為未來的一大趨勢,Elliott表示,越來越多的服務(wù)器廠商會使用它們,有些廠商以前不使用的也會使用它們。 Phoenix Technologies是一家BIOS軟件領(lǐng)域的龍頭廠商,近期它宣布加入Hypervisor的陣營,第一款產(chǎn)品將命名為 HyperCore: 這是一款針對桌面型和筆記本電腦的Hypervisor,它能讓用戶在開機(jī)后就能使用網(wǎng)頁瀏覽器和email客戶端,而不需等到啟動windows。 (HyperCore將會被嵌入到電腦的BIOS中。)
更多相關(guān):
投影機(jī)
|
文章來源:中國投影網(wǎng)
|
|
|
|
|
|
| |
|
|
|
|
