十一大措施確保虛擬化數(shù)據(jù)中心安全

申請免費試用、咨詢電話：400-8352-114

毫無疑問，虛擬化在數(shù)據(jù)中心的快速應用有許多好處。但是，這并不意味著沒有風險。有些風險與安全有關(guān)，盡管不能說虛擬化就有安全風險。不過，許多具體的風險僅在虛擬化環(huán)境中出現(xiàn)。

許多安全專家強烈建議重要的網(wǎng)絡(luò)和安全設(shè)備不能部署在虛擬平臺上，而要在專用的機器上運行。身份識別/目錄服務和防火墻是一些重要的網(wǎng)絡(luò)服務。盡管有專門保護虛擬化平臺上的這些服務的安全解決方案，但是，最好不要冒這個不必要的風險，除非你必須要這樣做。

虛擬化環(huán)境有自己的特殊性，因此，你用來保護虛擬化數(shù)據(jù)中心的安全措施也許不能同時滿足虛擬化環(huán)境和非虛擬化環(huán)境的需求是毫不奇怪的。事實上，你在采用虛擬化之后是有許多東西需要學習的。如果你已經(jīng)開始應用虛擬化并且沒有制定安全政策，虛擬化也許會成為推動你加強數(shù)據(jù)中心安全的一個推動因素。

虛擬化的安全問題

保護一個虛擬化環(huán)境的安全也許不需要許多特殊的手段。但是，仍有一些專門在虛擬化環(huán)境中出現(xiàn)的安全漏洞，或者在虛擬化環(huán)境中常見的安全漏洞。虛擬化環(huán)境中的主要安全漏洞如下：

1. 管理程序是一個故障點。管理程序(或者平臺)承載不同的應用程序，特別容易受到攻擊，因為如果管理程序被攻破，你的全部5臺服務器或者10臺服務器就在一次攻擊中全部崩潰。管理程序還能被劫持，從而使黑客能夠控制那臺機器上的全部虛擬服務器。

2. 拒絕服務攻擊更容易。許多虛擬服務器在一臺物理服務器上運行并且共享資源的事實意味著拒絕服務攻擊會容易。除非在設(shè)計時就想到要專門對付拒絕服務攻擊，否則，每一個虛擬服務器都應配置有限的安全措施以應付攻擊者。如果這個攻擊非常強大，無論是不是分布式的攻擊，服務器被攻破的可能性都是非常高的。

3. 主機內(nèi)通訊。主機內(nèi)通訊是指一個物理平臺中的服務器之間的通訊。這是虛擬化帶來的另一個問題。

4.一臺主機，多臺虛擬服務器。在非虛擬化環(huán)境中，你有一臺主機，就是一臺服務器。你檢查這個主機的安全就可以了。采用虛擬化，你需要檢查主機本身的安全和所有的虛擬服務器，包括當前離線的那些虛擬服務器。如果你忘記其中一個虛擬服務器，這個主機上的所有的虛擬服務器都會有風險(當然，網(wǎng)絡(luò)的其余部門也會有風險)。此外，當一臺服務器遭到攻擊時，其它服務器和主機本身也都會有風險，特別是如果這些服務器都沒有設(shè)置隔離功能的話。把許多雞蛋放在一個籃子里確實方便，但是，這個風險是不容忽視的。

5. 動態(tài)的IP地址。當你在不同的機器上部署了許多虛擬化服務器的時候，這可能會導致這些虛擬服務器使用的IP地址頻繁變化。除了IP地址的沖突之外，這還能導致基于IP地址的安全檢測措施失敗。因此，當你使用基于IP地址的保護措施的時候，你一定要反復檢查你的IP地址列表是否與實際機器的IP地址匹配。

6. 檢查你使用的鏡像。虛擬化把部署變成了一塊蛋糕。你只需要把服務器的鏡像拷貝到不同的主機上，它就部署完了。然而，你也許想不到要檢查這個鏡像。你也許認為這個鏡像是干凈的和沒有安全風險的，并且勇敢地使用這個鏡像。遺憾的是，這個鏡像也許有巨大的安全風險，因此，一定要首先對鏡像進行安全檢查，然后再部署它。

虛擬化確實存在一些具體問題。這些問題在非虛擬化環(huán)境中是沒有的。然而，如果你知道如何解決這些問題并且及時采取充分的措施，你就能夠在沒有風險的情況下享受虛擬化的好處。你需要采取的某些措施是非常明顯的，你也許已經(jīng)猜到了要采取什么措施。然而，有些措施不是那樣明顯，但是卻具有同樣的重要性。

保證虛擬化數(shù)據(jù)中心安全的措施

當安全成為人們擔心的問題的時候，人們永遠也不敢肯定有足夠的措施就夠用了。盡管采取了所有的措施并且按照最佳做法和指南去做，以便讓網(wǎng)絡(luò)不可能從外部或者內(nèi)部突破，但是，現(xiàn)實仍然是你對網(wǎng)絡(luò)安全采取的措施越多越好。下面是保護虛擬化數(shù)據(jù)中心安全的一些基本步驟。

1. 修改你的安全政策。你也許很想知道為什么安全措施的列表從這一點開始。因為許多技術(shù)人員忽略程序問題，所以有必要首先提出管理規(guī)定。因此，在你決定采取什么措施保護你的數(shù)據(jù)中心的安全之后，你要修改你的安全政策以便保證這些安全政策包含充分的規(guī)定。然后，你要應用這些修改的措施并且把最新的修改通知你的員工。與這些有修改有關(guān)的每一個人，無論他或者她僅僅是一個用戶還是對有關(guān)機器擁有管理員權(quán)限的人，都應該知道這些變化。此外，如果你沒有關(guān)于安全政策的書面規(guī)則和規(guī)定，你現(xiàn)在就把它們寫下來。

2. 保證主機操作系統(tǒng)的安全。由于主機與管理程序一樣是一個單個故障點，你需要采取一切必要措施最大限度保證操作系統(tǒng)的安全。這個步驟包括安裝補丁、更新軟件，這與保證非虛擬化主機的安全沒有什么區(qū)別。

3. 保證虛擬機操作系統(tǒng)的安全。在你保證主機安全之后，你還要保證虛擬機操作系統(tǒng)的安全。

4. 檢查所有的服務器是否安裝了必要的補丁。當你在一臺機器上有10個虛擬服務器的時候，人工逐個檢查每一個虛擬服務器是一項乏味的工作，但是，你必須要進行這種檢查。如果你使用了自動化的補丁安裝程序，你可能會跳過一兩臺服務器，這將破壞整個主機的安全，甚至會破壞網(wǎng)絡(luò)的安全。

5. 隔離和隔離區(qū)。隔離和隔離區(qū)是傳統(tǒng)的網(wǎng)絡(luò)安全最佳做法。你要把這些做法應用到虛擬化環(huán)境中。一些專家建議說，你不應該在隔離區(qū)外面或者在端點上設(shè)置虛擬機。不過，這有點極端。你可以專門為虛擬化的服務器創(chuàng)建隔離區(qū)。虛擬化的隔離區(qū)與傳統(tǒng)的隔離區(qū)沒有多大區(qū)別。

6. 監(jiān)視主機之間的通訊。有許多工具能夠監(jiān)視同一臺主機上的虛擬服務器之間的通訊。你要利用這些工具，因為如果存在安全問題的話，發(fā)現(xiàn)得越早越好。

7. 任務和權(quán)限。任務和權(quán)限是虛擬化方面的另一個問題。你需要考慮許多特殊的風險，例如，只有在你采取保護措施的時候才允許主機管理員拷貝虛擬服務器的鏡像。此外，每一個虛擬服務器的管理員不應該擁有訪問這臺機器上的其它服務器的權(quán)限，除非他們真正需要這個權(quán)限。當一個人是主機的管理員同時也是虛擬服務器的管理員的時候，這不是一個問題。但是，當涉及到不同的人的時候，就需要明確權(quán)限。

8. 使用適當?shù)能浖ｋm然幾年前還沒有專門的解決方案保證虛擬化環(huán)境的安全，但是，這種情況現(xiàn)在已經(jīng)成為歷史了。許多虛擬化解決方案廠商和第三方廠商都提供專門滿足虛擬化網(wǎng)絡(luò)需求的軟件。這些軟件能夠為你提供很大的幫助。

9. 限制你的安全政策對IP地址的依賴。基于IP的安全對于非虛擬化的環(huán)境有許多局限性。但是，對于虛擬化環(huán)境來說，由于IP地址頻繁變化，這個局限性就有較大的風險。因此，如果你能夠盡可能地限制你使用的基于IP的保護機制，那對你是有益的。

10. 使用跨平臺安全管理。當你能夠做到的時候，你要使用跨平臺安全管理。這有助于你避免許多潛在的危險，還能夠使不同種類的虛擬服務器農(nóng)場管理更加容易。

11. 不要忘記傳統(tǒng)的安全風險。最后，不要忘記傳統(tǒng)的安全風險，如惡意軟件或者入侵檢測。還要考慮接入控制，記錄監(jiān)視等等，并且分別對每一個虛擬機單獨地采取這些措施。（IT專家網(wǎng)）