返回列表 发帖

网管秘笈:探询虚拟化环境安全之路

网管秘笈:探询虚拟化环境安全之路
  
    虽然国际金融危机带来的寒流还在肆虐,但由于虚拟化的巨大利益,许多单位仍需要虚拟化来减轻其企业成本。随着企业逐步采用虚拟化架构,安全策略问题将延缓其发展。
   这是因为虚拟环境的安全与物理环境的安全并不是一回事。
   物理环境中的安全措施基于需要修复的服务器,它有着不变的身份,容易检查,但虚拟环境一直是流动的、改变的,并难以应对。
   更糟的是,可保证物理环境安全的工具和过程在虚拟化环境中并没有效。
   现有的救治、发现工具等并不能用于虚拟世界。因为它们并不能理解虚拟架构的动态性,虚拟机可被打开或关闭,一般的扫描工具并不理解能够动态迁移的虚拟机的概念。现有的工具希望一种全天运行的硬件系统,不会动态改变其身份及属性,并不能轻易地从一台主机迁移到另外一台主机。
   定期评估IT环境、找出哪些机器正在运行哪些软件的过程在虚拟环境中难以实现,还有,物理世界中的补丁管理并不适用于虚拟世界。
   假设你拥有一个承载着20个虚拟机的物理机,这些虚拟机经常频繁地进行交互通信。并没有什么真实有效的方法来探查网络内部的运行状态,所以过去十几年来所采用的工具必须加以重新设计或改造。
   这个问题有三个重要方面,即身份的丢失、灵活性、IT安全团队控制的缺失。在物理世界中,服务器在环境中是根据其实体性而确认的,如机架号,或是与物理机器有关的方面。在虚拟化的过程中,其实体性从本质上讲被剥夺了。
   更糟的是,虚拟机的克隆导致的是几个同样的复制品,这就产生了系统管理、维护、更新的问题,因为我们很难确认并区分某个虚拟机的各种克隆。
   保障虚拟机遵循策略和分离规则也是很困难的,因为虚拟机是高移动性的,如果物理服务器的资源不足时,虚拟机可自动地迁移到不同的物理服务器。
   例如,企业的人力资源系统或信用卡系统可能在运行在某台服务器上时寿终正寝,因为在其赖以运行的虚拟机被自动迁移到一个新的物理服务器时,这些系统有可能受到某个Web应用程序的访问。
   整合是许多公司选择虚拟化的主要原因,因为你可能拥有各种数据(如客户数据、信用卡数据等)需要分离的虚拟局域网(VLAN),但是,如果你将20台物理服务器整合为一台ESX主机时,所有的数据都将位于相同的虚拟交换机上。更多的情况是,你的数据和网络分段将丢失。
   以上仅是我们对于虚拟环境中的安全问题的一个大体探询,随着应用的逐步深入,单位将面临更多的安全挑战。如何面对这些挑战将改变虚拟化对企业的影响。

   进入网络时代,企业的经营活动与业务系统都立足于网络环境中。但是,网络特有的开放性,也对安全提出了更高的要求,一旦网络系统遭受侵害,就会给我们的企业带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的威胁与入侵,是每一个网管员必须面对的问题。减轻我们安全负担,减少安全事故,把经验拿出来和大家共同分享吧,11月30日前,将网管工作中的经验或经历整理出来,参与网管员世界安全之路有奖征文大赛***,还会有意想不到的收获哦!

[ 本帖最后由 sa.thysea$ 于 2009-11-12 14:35 编辑 ]

返回列表 回复 发帖