或许您已了解P2V和V2V转化,但是把虚拟机迁移到云还依然是新领域——尤其是安全相关部分。通过独立的DMZ设计,您可以实现云内的虚拟机安全。 V2C的转化把虚拟机转化为可以在云内进行管理的模式。如果把虚拟机寄宿在独立设计的DMZ(demilitarized zone)域中,可以极大提高云安全性。
在我解释DMZ如何影响虚拟机之前,先来讨论一下DMZ的虚拟化起源。 DMZ的设计和V2C:创建边界 DMZ存在于内部局域网之外,把需要对外共享的资源跟内网被保护数据隔离,实现对以太网不良信息的过滤。这种隔离使得数据进出DMZ域变得困难,尤其是在创建和保护到内部资源的连接方面。 同时,DM……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
或许您已了解P2V和V2V转化,但是把虚拟机迁移到云还依然是新领域——尤其是安全相关部分。通过独立的DMZ设计,您可以实现云内的虚拟机安全。
V2C的转化把虚拟机转化为可以在云内进行管理的模式。如果把虚拟机寄宿在独立设计的DMZ(demilitarized zone)域中,可以极大提高云安全性。在我解释DMZ如何影响虚拟机之前,先来讨论一下DMZ的虚拟化起源。
DMZ的设计和V2C:创建边界
DMZ存在于内部局域网之外,把需要对外共享的资源跟内网被保护数据隔离,实现对以太网不良信息的过滤。这种隔离使得数据进出DMZ域变得困难,尤其是在创建和保护到内部资源的连接方面。
同时,DMZ隔离的方式对于云内的虚拟机提供了更易于保护的边界,极大提高虚拟机安全性。独立的DMZ域就像这些虚拟机之外的一个保护壳一样。
通过DMZ设计改善虚拟机安全
有了隔离的DMZ设计,寄宿在云内的虚拟机就和传统的虚拟架构下一样安全。甚至当虚拟机转化为云模式后,DMZ内的虚拟机所需要的网络访问级别也和之前保持一致。云安全也需要HTTP和HTTPS连接,而且它们所需的保护方式也完全一致。
为保障虚拟机安全,那些外围宿主机需要进行额外的网络配置。通过这些配置可以让虚拟机连接到局域网内部的资源,如数据库或应用服务器。
一些云供应商提供了基于硬件或软件的防火墙,可以严格管控云虚拟机和周边IP终端设备之间的数据流。进一步保护可以使用基于LAN的防火墙或反向代理服务器的方案。更高级的虚拟机安全,防火墙软件可以内置到虚拟机操作系统中,从而在云供应商和虚拟化平台之外提供额外的保护层。
如果性能需求允许,您还可以在采用虚拟主机的同时,把数据留在LAN之内。经过这样的安全配置,攻击者进入Web服务器后获得的信息很少,还需要进一步破解才能访问到内部数据。
把虚拟机放到云里是由这种业务模式的收益所推动的,而不是技术本身。这些优势我们或许都曾经听过:提高资源利用率、快速甚至是完全自动化的服务器和服务扩展、对基础架构实现商品化的定价提供规模经济效益。把虚拟机放到隔离的同时又可以联网访问的DMZ域内的设计方法,是在低风险的前提下实现虚拟主机收益的第一步,同时也推动了云的虚拟机安全。
作者
Greg Shields,MCSE(微软认证系统工程师),是Concentrated Technology(www.concentratedtechnology.com)共同创始人和IT技术专家。他拥有近十五年的IT架构和企业管理经验。同时,也是一名IT培训师,并对IT多个技术主题进行演讲,主要包括微软管理、系统管理及监控、虚拟化等。他最近的著作是由SAPIEN出版社出版的《Windows Server 2008: What's New/What's Changed》。
相关推荐
-
专家答疑:如何选择满足虚拟化需求的灾难恢复方案?(下)
我们就灾难恢复情况咨询了顾问委员会,他们心目中保护虚拟机最好的方式是什么?对于选择相关产品和方案,他们会给出怎样的建议?
-
击败云悲观主义者:虚拟机安全案例
云反对者说你应该将虚拟机至于云外,因为云安全问题制约了他们的业务。更糟的是,云反对者有关虚拟机安全前途暗淡的描述可能会深入IT管理员的内心。如何反驳他们呢?
-
TT虚拟化七月关键词:vSphere 5、VDI与存储
七月,VMware发布了vSphere 5,新的许可策略引起极大争论。为什么要选光纤通道用于虚拟化存储网络?云中虚拟机安全又如何确保?
-
DMZ安装:用PaaS代替虚拟机方式
用平台即服务(PaaS)替代把DMZ应用装到本地虚拟机上的方式,可以提供更为简单和灵活的管理。通过PaaS,您可以访问到共享开发平台……