分析:如何应对虚拟服务器十大安全隐患(2)

on 2009-2-12 in 服务器技术 | 0 Comment


  3. 从你现有安全工具入手时刻保持审慎态度

  你是否需要套全新安全和管理工具来保护你虚拟化环境? 没有这个必要从你现有安全工具(诸如目前物理服务器和网络设备所用到工具)入手将它们运用到虚拟环境中做法会更有意义赫夫说道 但你要给厂商点压力让他们告诉你该如何密切留意虚拟化风险以及如何和其它产品同步前进

  "在应用物理工具到虚拟化环境安全问题上直都有认识"互联网数据中心艾略特说道"市场上有些安全工具早就加入了虚拟化概念 这意味着你必须要给厂商更多压力"

  "不要以为平台工具(比如VMware工具)对你来说已经足够"艾略特说道"你要把目光瞄向那些安全管理厂商 给那些管理厂商多点压力让他们去多做并为他们提供指引"

  马自达北美公司首席信息官Jim DiMarzio就在他企业中采用了这套战略 如同Arch Coal公司马自达北美公司在其虚拟服务器核心上运行了VMware公司ESX Server 3软件Software并在最近增加了虚拟机数量 DiMarzio表示他希望在2008年3月前拥有150台虚拟机他使用虚拟服务器来作为活动目录服务器、打印服务器、客户关系管理应用服务器和网络服务器 - 最后这项应用最具关键性马自达使用这些网络应用来向其所有经销商提供信息DiMarzio说道

  为了保障这些虚拟机安全DiMarzio决定继续使用他现有防火墙和安全产品包括IBM公司Tivoli Access Manager, 思科公司防火墙工具(firewall tools)以及赛门铁克软件Software公司入侵检测系统监控工具(IDS monitoring tools)

  在Arch Coal公司阿本尼和他团队(Team)也是坚持使用他们现有安全工具还有BlueLane 公司和虚拟化安全厂商Reflex Security公司调研工具"那些安全和变革厂商都在努力迎头赶上"阿本尼说道

  举例来说BlueLane公司就宣称他们补丁仿真产品虚拟盾VirtualShield(针对VMware产品虚拟设备版)甚至能在某些补丁没有及时更新情况下保护虚拟机安全自动扫描潜在问题对问题区域进行升级并保护它远离远程威胁侵害

  虚拟化安全厂商Reflex Security公司Virtual Security Appliance (VSA)也是少数需要引起关注产品的它对虚拟入侵检测系统(IDS)尤其有用在虚拟机所在物理服务器中为其添加了安全协议层 这可以防止系统管理免遭攻击同时避免将来可能产生麻烦阿本尼团队(Team)表示

  阿本尼表示他IT团队(Team)也讨论了添加第 2个内部防火墙来进步隔离虚拟机事宜但他担心这会对虚拟化应用软件Software使用造成影响

  互联网数据中心艾略特表示还有些其它虚拟化安全工具值得IT管理部门去关注: 比如PlateSpin就是款著名从物理机到虚拟机工作负载转换和管理工具; Vizioncore是款文件层次备份工具; Akorri是款绩效管理和工作负载平衡工具; 而最近被戴尔公司收购存储厂商EqualLogic以其iSCSI储存区域网络(SAN)产品来优化虚拟化而闻名

  4. 充分了解嵌入式管理价值

  或许你早已听说过"嵌入式"管理这是IT管理人员必须了解词汇 服务器上管理层是虚拟机根基所在 VMware公司近期发布ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)不包含操作系统应用 (没有操作系统也就意味着没有操作系统维护上麻烦)

  像戴尔公司和惠普公司等硬件厂商近期都表示他们会在服务器出货时预装这种嵌入式VMwareHypervisor 基本看来嵌入式管理相对较小所以更安全互联网数据中心艾略特表示 "代码库越大受攻击可能性也越大这由你选择体系架构而定"

  嵌入式管理将会成为未来大发展趋势艾略特表示越来越多服务器厂商会使用它们有些厂商以前不使用也会使用它们美商凤凰科技公司(Phoenix Technologies)是家BIOS软件Software领域龙头厂商近期它宣布加入管理阵营款产品将命名为HyperCore: 这是款针对桌面型和笔记本电脑管理它能让用户在开机后就能使用网页浏览器和电子邮件客户端而不需等到启动windows操作系统以后再这么做 (HyperCore将会被嵌入到电脑BIOS中)

  管理市场竞争和创新对企业来说未尝不是件好事赫夫说道 它能激励厂商争相提供体积更小、更为智能管理软件Software

  "不管它是凤凰科技公司还是其它厂商这场有趣战争都会带领管理成为下个卓越操作系统"赫夫说道

  降低受攻击可能性并非嵌入式管理强项马自达公司IT管理小组正期待即将到来预置了VMware ESX server戴尔服务器马自达公司IT系统经理Kai Sookwongse表示"我们所期待功能的是所有虚拟机映像都能在存储区域网络上展现当我们启动服务器时它能从存储区域网络映像上启动这种集中管理和安全方式也意味着马自达公司能够订购台没有硬盘服务器从而达到物理安全他强调说

  5. 不要给虚拟机盲目指派过度权限

  务必牢记在你对虚拟机指派管理级别访问权限时你就等于授权访问那台虚拟机所有数据 伯顿集团沃夫建议你仔细斟酌管理人员需要哪些备份帐号和访问权限 某些第 3方厂商对于虚拟机储存和备份安全问题所给出建议都是过时沃夫补充道 "这些厂商甚至连自己没有遵照VMware公司有关VMware整合备份最佳实战来执行"

  Arch Coal公司就对所有虚拟机设置了管理访问权限该公司信息安全管理员保罗.泰利表示他同事汤姆.卡特以及Carter上司是公司中为数不多拥有最高权限管理小组成员的

  应用开发员访问权限要尽量降低 "我们要么降低应用开发人员访问权限要么让他们进行共享访问控制他们对操作系统访问权限"Carter说道 这帮助公司控制了虚拟机增长速度同时提高了虚拟机安全系数

  6. 对供应存储多加观察

  某些企业如今在存储区域网络上存储使用有些过度沃夫说这不是总体存储量太多问题而是你有可能让虚拟机共享了部分存储区域网络他说

  如果你使用是VMotion那么你就等于在存储区域网络上分配了部分区域你要使那些储存分配更加区位化沃夫建议道 N-port ID虚拟化就是种可以让IT分配存储到虚拟机上技术这是种值得深入研究技术沃夫说道

Tags: 

延伸阅读

最新评论

发表评论