|
固若金湯 解析虛擬服務(wù)器10大安全隱患 |
更新時(shí)間:2007-11-20 10:24:47
。
編輯:隨云
)
|
內(nèi)容導(dǎo)航:
解析虛擬服務(wù)器10大安全隱患
2. 將你現(xiàn)有的流程應(yīng)用到虛擬機(jī)上
虛擬化最大的魅力或許就在于它的速度: 你可以在幾分鐘內(nèi)就創(chuàng)建一個(gè)虛擬機(jī),并在一天之內(nèi)就為你的商業(yè)部門提供新的動(dòng)力。 這種快速推進(jìn)方式常能使人樂(lè)此不彼。 但在此之前你一定要慎重,要讓虛擬化成為你現(xiàn)有IT流程的一部分,并且將預(yù)防安全問(wèn)題放在第一位,IDC的Elliott說(shuō)道。 你會(huì)逐漸發(fā)現(xiàn)更多令人頭疼的管理問(wèn)題。
“流程很重要,”他說(shuō)。 “考慮虛擬化不僅要站在技術(shù)的角度,而且還要從流程出發(fā)。” “比方說(shuō),如果你是使用ITIL來(lái)引導(dǎo)你的IT流程,那么你要事先考慮如何將虛擬化融入到那個(gè)流程框架里,”Elliott建議說(shuō)。 如果你是使用其它IT最佳實(shí)踐,也要考慮到融合的問(wèn)題。
Hoff給我們舉了個(gè)例子: “如果你有一個(gè)服務(wù)器強(qiáng)化文件(指新服務(wù)器的安全和安裝標(biāo)準(zhǔn)),你就應(yīng)當(dāng)在你的虛擬服務(wù)器上依樣畫瓢”。
在Arch Coal公司,Abbene的IT團(tuán)隊(duì)也是這么做的: “我們采用最佳實(shí)踐來(lái)確保物理服務(wù)器的安全,并將此照搬到每一臺(tái)虛擬機(jī)上,”Abbene說(shuō)道。 通過(guò)像強(qiáng)化操作系統(tǒng),在每一臺(tái)虛擬機(jī)上運(yùn)行防護(hù)軟件,確保補(bǔ)丁管理,保持虛擬箱符合同樣被應(yīng)用在物理服務(wù)器上的流程這樣的步驟,他說(shuō)。
3. 從你現(xiàn)有的安全工具入手,但要保持謹(jǐn)慎
你是否需要一套全新的安全與管理工具來(lái)保護(hù)你的虛擬化環(huán)境? 不。從你現(xiàn)有的安全工具入手,將它們運(yùn)用到虛擬環(huán)境中會(huì)更務(wù)實(shí),Hoff說(shuō)道。 但你要給廠商一點(diǎn)壓力,告訴他們?cè)撊绾蚊芮辛粢馓摂M化的風(fēng)險(xiǎn),以及如何與其它產(chǎn)品保持集成。
“在應(yīng)用物理工具到虛擬化環(huán)境的安全問(wèn)題上一直都有一種錯(cuò)誤的觀點(diǎn),”IDC的Elliott說(shuō)道。 “市場(chǎng)上有些安全工具早就加入了虛擬化的概念。 這意味著你必須要給廠商更多的壓力”。
“不要以為平臺(tái)工具(比如VMware工具)對(duì)你來(lái)說(shuō)已經(jīng)足夠,”Elliott說(shuō)道。 “你要把目光瞄向遺留管理廠商。 給那些遺留廠商一點(diǎn)壓力,讓他們?nèi)ザ嘧鲆恍,并為他們提供指引!?br>
Mazda North America的CIO Jim DiMarzio就在他的企業(yè)中采用了這套戰(zhàn)略。 如同Arch Coal公司一樣,Mazda NA在其虛擬服務(wù)器的核心上運(yùn)行了VMware的ESX Server 3軟件,并在最近增加了虛擬機(jī)的數(shù)量。 DiMarzio表示他希望在2008年3月前擁有150架虛擬機(jī)。他使用虛擬服務(wù)器來(lái)作為活動(dòng)目錄服務(wù)器、打印服務(wù)器、CRM應(yīng)用服務(wù)器和網(wǎng)站服務(wù)器 – 最后這項(xiàng)是一個(gè)關(guān)鍵任務(wù)應(yīng)用,因?yàn)镸azda使用這些網(wǎng)絡(luò)應(yīng)用來(lái)向其所有的經(jīng)銷商提供信息,DiMarzio說(shuō)道。
為了保障這些虛擬機(jī)的安全,DiMarzio決定繼續(xù)使用他現(xiàn)有的防火墻和安全產(chǎn)品,包括IBM的Tivoli Access Manager, Cisco firewall tools,以及Symantec's IDS monitoring tools。
在Arch Coal公司,Abbene與他的團(tuán)隊(duì)都在使用他們現(xiàn)有的安全工具,還有BlueLane 和 Reflex Security的調(diào)查工具。 “那些安全與變革廠商都在努力迎頭趕上,”Abbene說(shuō)道。
比方說(shuō),BlueLane的VirtualShield就宣稱它甚至能在某些補(bǔ)丁沒(méi)有及時(shí)更新的情況下保護(hù)虛擬機(jī)的安全,自動(dòng)掃描潛在的問(wèn)題,升級(jí)問(wèn)題區(qū)域,并保護(hù)它遠(yuǎn)離遠(yuǎn)程威脅的侵害。
Reflex Security的Virtual Security Appliance (VSA)是少數(shù)需要引起關(guān)注的產(chǎn)品之一,它對(duì)虛擬入侵檢測(cè)系統(tǒng)(IDS)尤其有用,在虛擬機(jī)所在的物理箱中為其添加了一層安全策略。 這可以防止Hypervisor免遭攻擊,Abbene的團(tuán)隊(duì)表示。
Abbene表示他的IT團(tuán)隊(duì)也討論了添加第二個(gè)內(nèi)部防火墻來(lái)進(jìn)一步隔離虛擬機(jī)的事宜,但他擔(dān)心這會(huì)對(duì)虛擬應(yīng)用的使用造成影響。
IDC的Elliott表示還有一些其它的虛擬化安全工具值得IT去關(guān)注: 比如PlateSpin就是一款著名的從物理到虛擬的工作負(fù)荷轉(zhuǎn)換和管理工具;Vizioncore是一款文件層次備份工具;Akorri是一款績(jī)效管理和工作負(fù)荷平衡工具;而最近被Dell收購(gòu)的儲(chǔ)存廠商EqualLogic以其 iSCSI 儲(chǔ)存區(qū)域網(wǎng)絡(luò)(SAN)產(chǎn)品來(lái)優(yōu)化虛擬化而聞名。
4. 了解內(nèi)嵌式Hypervisor的價(jià)值
或許你早已聽(tīng)說(shuō)過(guò)“內(nèi)嵌式”Hypervisor,這是IT管理人必須了解的詞匯。 服務(wù)器上的Hypervisor層是虛擬機(jī)的根本。 VMware近期發(fā)布的ESX Server 3i就是從安全角度出發(fā)而進(jìn)行瘦身設(shè)計(jì)(32MB)的不包含OS的應(yīng)用。 (沒(méi)有OS也就意味著沒(méi)有OS維護(hù)上的麻煩。)
像DELL和HP等硬件廠商近期都表示他們會(huì)在服務(wù)器出貨時(shí)預(yù)裝這種內(nèi)嵌式VMwareHypervisor。 基本看來(lái),內(nèi)嵌式Hypervisor因?yàn)橄鄬?duì)較小,所以更安全,IDC的Elliot表示。 “代碼庫(kù)越大,受攻擊的可能性也越大,這由你選擇的架構(gòu)而定!
內(nèi)嵌式Hypervisor將會(huì)成為未來(lái)的一大趨勢(shì),Elliott表示,越來(lái)越多的服務(wù)器廠商會(huì)使用它們,有些廠商以前不使用的也會(huì)使用它們。 Phoenix Technologies是一家BIOS軟件領(lǐng)域的龍頭廠商,近期它宣布加入Hypervisor的陣營(yíng),第一款產(chǎn)品將命名為 HyperCore: 這是一款針對(duì)桌面型和筆記本電腦的Hypervisor,它能讓用戶在開(kāi)機(jī)后就能使用網(wǎng)頁(yè)瀏覽器和email客戶端,而不需等到啟動(dòng)windows。 (HyperCore將會(huì)被嵌入到電腦的BIOS中。)
更多相關(guān):
投影機(jī)
|
文章來(lái)源:中國(guó)投影網(wǎng)
|
|
|
|
|
|
|
|
|