| |
| 固若金湯 解析虛擬服務(wù)器10大安全隱患 |
更新時間:2007-11-20 10:24:47
����。
編輯:隨云
)
|
內(nèi)容導(dǎo)航:
解析虛擬服務(wù)器10大安全隱患
Hypervisor市場的競爭與創(chuàng)新對企業(yè)來說未嘗不是一件好事���,Hoff說道��。 它能激勵廠商爭相提供更加瘦身�、智能的Hypervisor軟件�。
“不管它是Phoenix還是其它廠商,這場有趣的戰(zhàn)爭都會帶領(lǐng)Hypervisor成為下一個卓越的OS����,”Hoff說道。
降低受攻擊的可能性并非嵌入式Hypervisor的唯一強項���。 Mazda的IT小組正期待即將到來的預(yù)置了VMware ESX server的DELL服務(wù)器�, Mazda的IT系統(tǒng)經(jīng)理Kai Sookwongse表示�����,“我們所期待的功能之一是所有的VM鏡像都能在SAN上展現(xiàn),”Sookwongse 表示�。
“當(dāng)我們啟動服務(wù)器時,它能從SAN的鏡像上啟動����!边@種集中管理與安全的方式也意味著Mazda能夠訂購一臺沒有硬盤的服務(wù)器�,從而達(dá)到物理安全的目的���,他說���。
5. 不要給虛擬機指派過度的權(quán)限
務(wù)必牢記,在你對虛擬機指派管理級別的訪問權(quán)限時�,你就等于授權(quán)訪問那臺虛擬機的所有數(shù)據(jù)。 Burton Group的Wolf建議你仔細(xì)斟酌備份管理人員需要哪些帳號和訪問權(quán)限���。 某些第三方廠商對于虛擬機的儲存和備份安全問題所給出的建議都是過時的���, Wolf補充道。 “這些廠商甚至連自己沒有遵照VMware關(guān)于VMware Consolidated Backup的最佳實踐來執(zhí)行”���。
Arch Coal公司就限制了虛擬機的管理訪問權(quán)限�,該公司的信息安全管理員Paul Telle表示他的同事Tom Carter以及Carter的上司是公司中為數(shù)不多的擁有最高權(quán)限的小組成員之一。
應(yīng)用開發(fā)員的訪問權(quán)限要盡量降低����。 “我們要么降低應(yīng)用開發(fā)人員的訪問權(quán)限,要么讓他們進(jìn)行共享訪問��,他們無法訪問OS�����,”Carter說道����。 這幫助公司控制了虛擬機的增長,同時提高了安全性�。
6. 注意你的儲存
某些企業(yè)如今在SAN上的儲存有些過度,Wolf說���。 這不是總體儲存太多的問題��,而是你有可能讓一臺錯誤的虛擬機共享了部分的SAN�,他說�����。
如果你使用的是VMotion,那么你就等于在SAN上分配了部分區(qū)域�����。 你要使那些儲存分配更加區(qū)位化�,Wolf建議道。 N-port ID虛擬化就是一種可以讓IT分配儲存到虛擬機上的技術(shù)��, 這是一種值得深入研究的技術(shù)�����,Wolf說道��。
7. 在網(wǎng)絡(luò)分區(qū)中確保良好的隔離
隨著企業(yè)走向虛擬化�,他們不該忽略網(wǎng)絡(luò)流量上與安全有關(guān)的風(fēng)險���。 但某些風(fēng)險的確容易被忽略�,尤其是當(dāng)IT管理人員在進(jìn)行虛擬化規(guī)劃時沒有讓網(wǎng)絡(luò)和安全人員參與的情況下�����。 “許多企業(yè)僅僅使用績效作為度量方式來加強整固�,”Wolf說道。 (在評估定位哪些應(yīng)用服務(wù)器在物理箱中作為虛擬機的時候,IT團隊趨向于先注重那些急用的應(yīng)用服務(wù)器���,因為他們不想讓一個物理箱承擔(dān)太多的負(fù)荷��。) “他們之所以會忽略這一點�,是因為他們忘記了網(wǎng)絡(luò)流量上的安全限制不允許他們將這些虛擬機定位在一起�����,”Wolf說道��。
比方說����,某些CIO決定不在DMZ建立任何虛擬服務(wù)器(DMZ是demilitarized zone的縮寫,這是一個儲存外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)����,就像電子商務(wù)服務(wù)器那樣,在互聯(lián)網(wǎng)和局域網(wǎng)之間增加一個緩沖)����。
如果你在DMZ中有虛擬機,那么你或許要將它們劃分到物理分隔的網(wǎng)絡(luò)分區(qū)中�,使它與其它系統(tǒng)分隔開���,比如某種關(guān)鍵的甲骨文數(shù)據(jù)庫服務(wù)器,Wolf說道��。
Abbene說����,在 Arch Coal公司,IT團隊會在一開始就考慮到DMZ的因素����。
他們在內(nèi)部局域網(wǎng)中展開虛擬服務(wù)器,不面向公眾���。 “這是早期一個關(guān)鍵的決定,”Abbene說道����。 比方說,該公司在DMZ中有一些安全FTP服務(wù)器和一些從事簡單電子商務(wù)的服務(wù)器;那就沒有必要將虛擬機引入那塊領(lǐng)域���,他說�����。
8. 交換上的隱憂
“某些虛擬交換機如今被當(dāng)Hub來用: 在虛擬轉(zhuǎn)換機中����,每一個端口都被映射到其它端口上,”Wolf說道�。 Microsoft Virtual Server就是這樣。 而VMware的ESX Sserver則不會���,Citrix XenServer也不會�。 “人們一聽到‘交換機’就會認(rèn)為有分隔存在����。 其實它是根據(jù)廠商的不同而不同的”。
Microsoft聲稱交換機問題將會在即將發(fā)布的Viridian服務(wù)器虛擬化軟件中被解決��,Wolf補充道���。
更多相關(guān):
投影機
|
文章來源:中國投影網(wǎng)
|
|
|
|
|
|
| |
|
|
|
|
