ASPCN防雷技术论坛

 找回密码
 轻松注册
查看: 1625|回复: 0
打印 上一主题 下一主题

网管秘笈:探询虚拟化环境安全之路

[复制链接]
跳转到指定楼层
楼主
发表于 2009-11-7 06:43:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
网管秘笈:探询虚拟化环境安全之路
  
    虽然国际金融危机带来的寒流还在肆虐,但由于虚拟化的巨大利益,许多单位仍需要虚拟化来减轻其企业成本。随着企业逐步采用虚拟化架构,安全策略问题将延缓其发展。
   这是因为虚拟环境的安全与物理环境的安全并不是一回事。
   物理环境中的安全措施基于需要修复的服务器,它有着不变的身份,容易检查,但虚拟环境一直是流动的、改变的,并难以应对。
   更糟的是,可保证物理环境安全的工具和过程在虚拟化环境中并没有效。
   现有的救治、发现工具等并不能用于虚拟世界。因为它们并不能理解虚拟架构的动态性,虚拟机可被打开或关闭,一般的扫描工具并不理解能够动态迁移的虚拟机的概念。现有的工具希望一种全天运行的硬件系统,不会动态改变其身份及属性,并不能轻易地从一台主机迁移到另外一台主机。
   定期评估IT环境、找出哪些机器正在运行哪些软件的过程在虚拟环境中难以实现,还有,物理世界中的补丁管理并不适用于虚拟世界。
   假设你拥有一个承载着20个虚拟机的物理机,这些虚拟机经常频繁地进行交互通信。并没有什么真实有效的方法来探查网络内部的运行状态,所以过去十几年来所采用的工具必须加以重新设计或改造。
   这个问题有三个重要方面,即身份的丢失、灵活性、IT安全团队控制的缺失。在物理世界中,服务器在环境中是根据其实体性而确认的,如机架号,或是与物理机器有关的方面。在虚拟化的过程中,其实体性从本质上讲被剥夺了。
   更糟的是,虚拟机的克隆导致的是几个同样的复制品,这就产生了系统管理、维护、更新的问题,因为我们很难确认并区分某个虚拟机的各种克隆。
   保障虚拟机遵循策略和分离规则也是很困难的,因为虚拟机是高移动性的,如果物理服务器的资源不足时,虚拟机可自动地迁移到不同的物理服务器。
   例如,企业的人力资源系统或系统可能在运行在某台服务器上时寿终正寝,因为在其赖以运行的虚拟机被自动迁移到一个新的物理服务器时,这些系统有可能受到某个Web应用程序的访问。
   整合是许多公司选择虚拟化的主要原因,因为你可能拥有各种数据(如客户数据、据等)需要分离的虚拟局域网(VLAN),但是,如果你将20台物理服务器整合为一台ESX主机时,所有的数据都将位于相同的虚拟交换机上。更多的情况是,你的数据和网络分段将丢失。
   以上仅是我们对于虚拟环境中的安全问题的一个大体探询,随着应用的逐步深入,单位将面临更多的安全挑战。如何面对这些挑战将改变虚拟化对企业的影响。
   进入网络时代,企业的经营活动与业务系统都立足于网络环境中。但是,网络特有的开放性,也对安全提出了更高的要求,一旦网络系统遭受侵害,就会给我们的企业带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的威胁与入侵,是每一个网管员必须面对的问题。减轻我们安全负担,减少安全事故,把经验拿出来和大家共同分享吧,11月30日前,将网管工作中的经验或经历整理出来,参与网管员世界安全之路有奖征文大赛www.365master.com/event/pick2009/,还会有意想不到的收获哦!
您需要登录后才可以回帖 登录 | 轻松注册

本版积分规则

手机版|小黑屋|Archiver|沪ICP备13015411号-2|ASPCN防雷技术论坛.

GMT+8, 2024-11-16 09:05

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表