| 固若金湯 解析虛擬服務(wù)器10大安全隱患 |
更新時(shí)間:2007-11-20 10:24:47
�����。
編輯:隨云
)
|
內(nèi)容導(dǎo)航:
解析虛擬服務(wù)器10大安全隱患
Hypervisor市場(chǎng)的競(jìng)爭(zhēng)與創(chuàng)新對(duì)企業(yè)來(lái)說(shuō)未嘗不是一件好事,Hoff說(shuō)道���。 它能激勵(lì)廠商爭(zhēng)相提供更加瘦身、智能的Hypervisor軟件�。
“不管它是Phoenix還是其它廠商�����,這場(chǎng)有趣的戰(zhàn)爭(zhēng)都會(huì)帶領(lǐng)Hypervisor成為下一個(gè)卓越的OS,”Hoff說(shuō)道�。
降低受攻擊的可能性并非嵌入式Hypervisor的唯一強(qiáng)項(xiàng)。 Mazda的IT小組正期待即將到來(lái)的預(yù)置了VMware ESX server的DELL服務(wù)器���, Mazda的IT系統(tǒng)經(jīng)理Kai Sookwongse表示,“我們所期待的功能之一是所有的VM鏡像都能在SAN上展現(xiàn)�,”Sookwongse 表示���。
“當(dāng)我們啟動(dòng)服務(wù)器時(shí)�,它能從SAN的鏡像上啟動(dòng)������!边@種集中管理與安全的方式也意味著Mazda能夠訂購(gòu)一臺(tái)沒有硬盤的服務(wù)器�,從而達(dá)到物理安全的目的,他說(shuō)。
5. 不要給虛擬機(jī)指派過(guò)度的權(quán)限
務(wù)必牢記,在你對(duì)虛擬機(jī)指派管理級(jí)別的訪問(wèn)權(quán)限時(shí)�,你就等于授權(quán)訪問(wèn)那臺(tái)虛擬機(jī)的所有數(shù)據(jù)���。 Burton Group的Wolf建議你仔細(xì)斟酌備份管理人員需要哪些帳號(hào)和訪問(wèn)權(quán)限���。 某些第三方廠商對(duì)于虛擬機(jī)的儲(chǔ)存和備份安全問(wèn)題所給出的建議都是過(guò)時(shí)的�����, Wolf補(bǔ)充道。 “這些廠商甚至連自己沒有遵照VMware關(guān)于VMware Consolidated Backup的最佳實(shí)踐來(lái)執(zhí)行”。
Arch Coal公司就限制了虛擬機(jī)的管理訪問(wèn)權(quán)限,該公司的信息安全管理員Paul Telle表示他的同事Tom Carter以及Carter的上司是公司中為數(shù)不多的擁有最高權(quán)限的小組成員之一�。
應(yīng)用開發(fā)員的訪問(wèn)權(quán)限要盡量降低�。 “我們要么降低應(yīng)用開發(fā)人員的訪問(wèn)權(quán)限���,要么讓他們進(jìn)行共享訪問(wèn)���,他們無(wú)法訪問(wèn)OS�����,”Carter說(shuō)道。 這幫助公司控制了虛擬機(jī)的增長(zhǎng)�����,同時(shí)提高了安全性�����。
6. 注意你的儲(chǔ)存
某些企業(yè)如今在SAN上的儲(chǔ)存有些過(guò)度���,Wolf說(shuō)�。 這不是總體儲(chǔ)存太多的問(wèn)題���,而是你有可能讓一臺(tái)錯(cuò)誤的虛擬機(jī)共享了部分的SAN�����,他說(shuō)�。
如果你使用的是VMotion,那么你就等于在SAN上分配了部分區(qū)域。 你要使那些儲(chǔ)存分配更加區(qū)位化���,Wolf建議道。 N-port ID虛擬化就是一種可以讓IT分配儲(chǔ)存到虛擬機(jī)上的技術(shù), 這是一種值得深入研究的技術(shù),Wolf說(shuō)道�����。
7. 在網(wǎng)絡(luò)分區(qū)中確保良好的隔離
隨著企業(yè)走向虛擬化�,他們不該忽略網(wǎng)絡(luò)流量上與安全有關(guān)的風(fēng)險(xiǎn)。 但某些風(fēng)險(xiǎn)的確容易被忽略,尤其是當(dāng)IT管理人員在進(jìn)行虛擬化規(guī)劃時(shí)沒有讓網(wǎng)絡(luò)和安全人員參與的情況下。 “許多企業(yè)僅僅使用績(jī)效作為度量方式來(lái)加強(qiáng)整固���,”Wolf說(shuō)道。 (在評(píng)估定位哪些應(yīng)用服務(wù)器在物理箱中作為虛擬機(jī)的時(shí)候,IT團(tuán)隊(duì)趨向于先注重那些急用的應(yīng)用服務(wù)器�,因?yàn)樗麄儾幌胱屢粋(gè)物理箱承擔(dān)太多的負(fù)荷���。) “他們之所以會(huì)忽略這一點(diǎn),是因?yàn)樗麄兺浟司W(wǎng)絡(luò)流量上的安全限制不允許他們將這些虛擬機(jī)定位在一起�����,”Wolf說(shuō)道�����。
比方說(shuō)�,某些CIO決定不在DMZ建立任何虛擬服務(wù)器(DMZ是demilitarized zone的縮寫���,這是一個(gè)儲(chǔ)存外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)�����,就像電子商務(wù)服務(wù)器那樣�,在互聯(lián)網(wǎng)和局域網(wǎng)之間增加一個(gè)緩沖)�。
如果你在DMZ中有虛擬機(jī),那么你或許要將它們劃分到物理分隔的網(wǎng)絡(luò)分區(qū)中�����,使它與其它系統(tǒng)分隔開�,比如某種關(guān)鍵的甲骨文數(shù)據(jù)庫(kù)服務(wù)器,Wolf說(shuō)道�。
Abbene說(shuō)�����,在 Arch Coal公司,IT團(tuán)隊(duì)會(huì)在一開始就考慮到DMZ的因素���。
他們?cè)趦?nèi)部局域網(wǎng)中展開虛擬服務(wù)器,不面向公眾���。 “這是早期一個(gè)關(guān)鍵的決定���,”Abbene說(shuō)道���。 比方說(shuō)�����,該公司在DMZ中有一些安全FTP服務(wù)器和一些從事簡(jiǎn)單電子商務(wù)的服務(wù)器;那就沒有必要將虛擬機(jī)引入那塊領(lǐng)域���,他說(shuō)�。
8. 交換上的隱憂
“某些虛擬交換機(jī)如今被當(dāng)Hub來(lái)用: 在虛擬轉(zhuǎn)換機(jī)中�����,每一個(gè)端口都被映射到其它端口上���,”Wolf說(shuō)道�。 Microsoft Virtual Server就是這樣�。 而VMware的ESX Sserver則不會(huì),Citrix XenServer也不會(huì)�。 “人們一聽到‘交換機(jī)’就會(huì)認(rèn)為有分隔存在�����。 其實(shí)它是根據(jù)廠商的不同而不同的”���。
Microsoft聲稱交換機(jī)問(wèn)題將會(huì)在即將發(fā)布的Viridian服務(wù)器虛擬化軟件中被解決�,Wolf補(bǔ)充道�。
更多相關(guān):
投影機(jī)
|
文章來(lái)源:中國(guó)投影網(wǎng)
|
|
|
|
|
