十一大措施確保虛擬化數(shù)據(jù)中心安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

毫無(wú)疑問(wèn)，虛擬化在數(shù)據(jù)中心的快速應(yīng)用有許多好處。但是，這并不意味著沒(méi)有風(fēng)險(xiǎn)。有些風(fēng)險(xiǎn)與安全有關(guān)，盡管不能說(shuō)虛擬化就有安全風(fēng)險(xiǎn)。不過(guò)，許多具體的風(fēng)險(xiǎn)僅在虛擬化環(huán)境中出現(xiàn)。

許多安全專家強(qiáng)烈建議重要的網(wǎng)絡(luò)和安全設(shè)備不能部署在虛擬平臺(tái)上，而要在專用的機(jī)器上運(yùn)行。身份識(shí)別/目錄服務(wù)和防火墻是一些重要的網(wǎng)絡(luò)服務(wù)。盡管有專門(mén)保護(hù)虛擬化平臺(tái)上的這些服務(wù)的安全解決方案，但是，最好不要冒這個(gè)不必要的風(fēng)險(xiǎn)，除非你必須要這樣做。

虛擬化環(huán)境有自己的特殊性，因此，你用來(lái)保護(hù)虛擬化數(shù)據(jù)中心的安全措施也許不能同時(shí)滿足虛擬化環(huán)境和非虛擬化環(huán)境的需求是毫不奇怪的。事實(shí)上，你在采用虛擬化之后是有許多東西需要學(xué)習(xí)的。如果你已經(jīng)開(kāi)始應(yīng)用虛擬化并且沒(méi)有制定安全政策，虛擬化也許會(huì)成為推動(dòng)你加強(qiáng)數(shù)據(jù)中心安全的一個(gè)推動(dòng)因素。

虛擬化的安全問(wèn)題

保護(hù)一個(gè)虛擬化環(huán)境的安全也許不需要許多特殊的手段。但是，仍有一些專門(mén)在虛擬化環(huán)境中出現(xiàn)的安全漏洞，或者在虛擬化環(huán)境中常見(jiàn)的安全漏洞。虛擬化環(huán)境中的主要安全漏洞如下：

1. 管理程序是一個(gè)故障點(diǎn)。管理程序(或者平臺(tái))承載不同的應(yīng)用程序，特別容易受到攻擊，因?yàn)槿绻芾沓绦虮还テ疲愕娜?臺(tái)服務(wù)器或者10臺(tái)服務(wù)器就在一次攻擊中全部崩潰。管理程序還能被劫持，從而使黑客能夠控制那臺(tái)機(jī)器上的全部虛擬服務(wù)器。

2. 拒絕服務(wù)攻擊更容易。許多虛擬服務(wù)器在一臺(tái)物理服務(wù)器上運(yùn)行并且共享資源的事實(shí)意味著拒絕服務(wù)攻擊會(huì)容易。除非在設(shè)計(jì)時(shí)就想到要專門(mén)對(duì)付拒絕服務(wù)攻擊，否則，每一個(gè)虛擬服務(wù)器都應(yīng)配置有限的安全措施以應(yīng)付攻擊者。如果這個(gè)攻擊非常強(qiáng)大，無(wú)論是不是分布式的攻擊，服務(wù)器被攻破的可能性都是非常高的。

3. 主機(jī)內(nèi)通訊。主機(jī)內(nèi)通訊是指一個(gè)物理平臺(tái)中的服務(wù)器之間的通訊。這是虛擬化帶來(lái)的另一個(gè)問(wèn)題。

4.一臺(tái)主機(jī)，多臺(tái)虛擬服務(wù)器。在非虛擬化環(huán)境中，你有一臺(tái)主機(jī)，就是一臺(tái)服務(wù)器。你檢查這個(gè)主機(jī)的安全就可以了。采用虛擬化，你需要檢查主機(jī)本身的安全和所有的虛擬服務(wù)器，包括當(dāng)前離線的那些虛擬服務(wù)器。如果你忘記其中一個(gè)虛擬服務(wù)器，這個(gè)主機(jī)上的所有的虛擬服務(wù)器都會(huì)有風(fēng)險(xiǎn)(當(dāng)然，網(wǎng)絡(luò)的其余部門(mén)也會(huì)有風(fēng)險(xiǎn))。此外，當(dāng)一臺(tái)服務(wù)器遭到攻擊時(shí)，其它服務(wù)器和主機(jī)本身也都會(huì)有風(fēng)險(xiǎn)，特別是如果這些服務(wù)器都沒(méi)有設(shè)置隔離功能的話。把許多雞蛋放在一個(gè)籃子里確實(shí)方便，但是，這個(gè)風(fēng)險(xiǎn)是不容忽視的。

5. 動(dòng)態(tài)的IP地址。當(dāng)你在不同的機(jī)器上部署了許多虛擬化服務(wù)器的時(shí)候，這可能會(huì)導(dǎo)致這些虛擬服務(wù)器使用的IP地址頻繁變化。除了IP地址的沖突之外，這還能導(dǎo)致基于IP地址的安全檢測(cè)措施失敗。因此，當(dāng)你使用基于IP地址的保護(hù)措施的時(shí)候，你一定要反復(fù)檢查你的IP地址列表是否與實(shí)際機(jī)器的IP地址匹配。

6. 檢查你使用的鏡像。虛擬化把部署變成了一塊蛋糕。你只需要把服務(wù)器的鏡像拷貝到不同的主機(jī)上，它就部署完了。然而，你也許想不到要檢查這個(gè)鏡像。你也許認(rèn)為這個(gè)鏡像是干凈的和沒(méi)有安全風(fēng)險(xiǎn)的，并且勇敢地使用這個(gè)鏡像。遺憾的是，這個(gè)鏡像也許有巨大的安全風(fēng)險(xiǎn)，因此，一定要首先對(duì)鏡像進(jìn)行安全檢查，然后再部署它。

虛擬化確實(shí)存在一些具體問(wèn)題。這些問(wèn)題在非虛擬化環(huán)境中是沒(méi)有的。然而，如果你知道如何解決這些問(wèn)題并且及時(shí)采取充分的措施，你就能夠在沒(méi)有風(fēng)險(xiǎn)的情況下享受虛擬化的好處。你需要采取的某些措施是非常明顯的，你也許已經(jīng)猜到了要采取什么措施。然而，有些措施不是那樣明顯，但是卻具有同樣的重要性。

保證虛擬化數(shù)據(jù)中心安全的措施

當(dāng)安全成為人們擔(dān)心的問(wèn)題的時(shí)候，人們永遠(yuǎn)也不敢肯定有足夠的措施就夠用了。盡管采取了所有的措施并且按照最佳做法和指南去做，以便讓網(wǎng)絡(luò)不可能從外部或者內(nèi)部突破，但是，現(xiàn)實(shí)仍然是你對(duì)網(wǎng)絡(luò)安全采取的措施越多越好。下面是保護(hù)虛擬化數(shù)據(jù)中心安全的一些基本步驟。

1. 修改你的安全政策。你也許很想知道為什么安全措施的列表從這一點(diǎn)開(kāi)始。因?yàn)樵S多技術(shù)人員忽略程序問(wèn)題，所以有必要首先提出管理規(guī)定。因此，在你決定采取什么措施保護(hù)你的數(shù)據(jù)中心的安全之后，你要修改你的安全政策以便保證這些安全政策包含充分的規(guī)定。然后，你要應(yīng)用這些修改的措施并且把最新的修改通知你的員工。與這些有修改有關(guān)的每一個(gè)人，無(wú)論他或者她僅僅是一個(gè)用戶還是對(duì)有關(guān)機(jī)器擁有管理員權(quán)限的人，都應(yīng)該知道這些變化。此外，如果你沒(méi)有關(guān)于安全政策的書(shū)面規(guī)則和規(guī)定，你現(xiàn)在就把它們寫(xiě)下來(lái)。

2. 保證主機(jī)操作系統(tǒng)的安全。由于主機(jī)與管理程序一樣是一個(gè)單個(gè)故障點(diǎn)，你需要采取一切必要措施最大限度保證操作系統(tǒng)的安全。這個(gè)步驟包括安裝補(bǔ)丁、更新軟件，這與保證非虛擬化主機(jī)的安全沒(méi)有什么區(qū)別。

3. 保證虛擬機(jī)操作系統(tǒng)的安全。在你保證主機(jī)安全之后，你還要保證虛擬機(jī)操作系統(tǒng)的安全。

4. 檢查所有的服務(wù)器是否安裝了必要的補(bǔ)丁。當(dāng)你在一臺(tái)機(jī)器上有10個(gè)虛擬服務(wù)器的時(shí)候，人工逐個(gè)檢查每一個(gè)虛擬服務(wù)器是一項(xiàng)乏味的工作，但是，你必須要進(jìn)行這種檢查。如果你使用了自動(dòng)化的補(bǔ)丁安裝程序，你可能會(huì)跳過(guò)一兩臺(tái)服務(wù)器，這將破壞整個(gè)主機(jī)的安全，甚至?xí)茐木W(wǎng)絡(luò)的安全。

5. 隔離和隔離區(qū)。隔離和隔離區(qū)是傳統(tǒng)的網(wǎng)絡(luò)安全最佳做法。你要把這些做法應(yīng)用到虛擬化環(huán)境中。一些專家建議說(shuō)，你不應(yīng)該在隔離區(qū)外面或者在端點(diǎn)上設(shè)置虛擬機(jī)。不過(guò)，這有點(diǎn)極端。你可以專門(mén)為虛擬化的服務(wù)器創(chuàng)建隔離區(qū)。虛擬化的隔離區(qū)與傳統(tǒng)的隔離區(qū)沒(méi)有多大區(qū)別。

6. 監(jiān)視主機(jī)之間的通訊。有許多工具能夠監(jiān)視同一臺(tái)主機(jī)上的虛擬服務(wù)器之間的通訊。你要利用這些工具，因?yàn)槿绻嬖诎踩珕?wèn)題的話，發(fā)現(xiàn)得越早越好。

7. 任務(wù)和權(quán)限。任務(wù)和權(quán)限是虛擬化方面的另一個(gè)問(wèn)題。你需要考慮許多特殊的風(fēng)險(xiǎn)，例如，只有在你采取保護(hù)措施的時(shí)候才允許主機(jī)管理員拷貝虛擬服務(wù)器的鏡像。此外，每一個(gè)虛擬服務(wù)器的管理員不應(yīng)該擁有訪問(wèn)這臺(tái)機(jī)器上的其它服務(wù)器的權(quán)限，除非他們真正需要這個(gè)權(quán)限。當(dāng)一個(gè)人是主機(jī)的管理員同時(shí)也是虛擬服務(wù)器的管理員的時(shí)候，這不是一個(gè)問(wèn)題。但是，當(dāng)涉及到不同的人的時(shí)候，就需要明確權(quán)限。

8. 使用適當(dāng)?shù)能浖ｋm然幾年前還沒(méi)有專門(mén)的解決方案保證虛擬化環(huán)境的安全，但是，這種情況現(xiàn)在已經(jīng)成為歷史了。許多虛擬化解決方案廠商和第三方廠商都提供專門(mén)滿足虛擬化網(wǎng)絡(luò)需求的軟件。這些軟件能夠?yàn)槟闾峁┖艽蟮膸椭?/P>

9. 限制你的安全政策對(duì)IP地址的依賴?；贗P的安全對(duì)于非虛擬化的環(huán)境有許多局限性。但是，對(duì)于虛擬化環(huán)境來(lái)說(shuō)，由于IP地址頻繁變化，這個(gè)局限性就有較大的風(fēng)險(xiǎn)。因此，如果你能夠盡可能地限制你使用的基于IP的保護(hù)機(jī)制，那對(duì)你是有益的。

10. 使用跨平臺(tái)安全管理。當(dāng)你能夠做到的時(shí)候，你要使用跨平臺(tái)安全管理。這有助于你避免許多潛在的危險(xiǎn)，還能夠使不同種類的虛擬服務(wù)器農(nóng)場(chǎng)管理更加容易。

11. 不要忘記傳統(tǒng)的安全風(fēng)險(xiǎn)。最后，不要忘記傳統(tǒng)的安全風(fēng)險(xiǎn)，如惡意軟件或者入侵檢測(cè)。還要考慮接入控制，記錄監(jiān)視等等，并且分別對(duì)每一個(gè)虛擬機(jī)單獨(dú)地采取這些措施。（IT專家網(wǎng)）