十大步骤使企业虚拟化数据中心固若金汤(2)

虚拟化数据中心安全步骤三：利用安全工具
是否需要一套全新的安全和管理工具来保护虚拟化环境？不需要。明智之举就是，从保护物理服务器和网络环境的一套现有安全工具入手，然后运用到虚拟环境。但一定要了解厂商是如何跟踪虚拟化风险、将来如何与其他产品进行集成的。
IDC的Elliott说： “保护物理环境的工具用于保护虚拟化环境是一种虚假的安全感。”同时他又说： “对虚拟化环境的新型安全工具而言，目前处于市场的早期阶段。这意味着必须对传统厂商以及潜在的新兴厂商施加压力。”
别以为平台层面的工具（如VMware的工具）足够好。要看一看新兴公司和传统管理厂商。对那些传统厂商施加压力，要求他们做更多的工作，并为他们提供指导。
马自达北美公司的CIO—Jim DiMarzio就在他的企业中采用了这项策略。与Arch Coal一样，马自达北美公司也在虚拟服务器的核心处运行VMware的ESX Server 3软件，最近一直在增加虚拟机的数量。DiMarzio说，他预计到2008年3月会有150个虚拟机。
为了保护这些虚拟机的安全，DiMarzio决定继续使用现有的防火墙和安全产品，包括IBM的Tivoli Access Manager、思科防火墙工具以及赛门铁克的入侵检测系统（IDS）监控工具。
　　Arch Coal公司的Abbene及其团队也继续使用原有的安全工具，同时又在调查BlueLane 和Reflex Security等新兴公司的工具。Abbene说： “传统安全厂商正在奋起直追，他们在这方面落后于新兴公司。”
　　虚拟化数据中心安全步骤四：采用嵌入式管理程序
服务器上的虚拟机管理程序层充当虚拟机的基础。VMware近期宣布推出的ESX Server 3i虚拟机管理程序的独特之处在于不包括通用操作系统。出于安全上的考虑，它采用了精简设计，只占用32MB空间。
像戴尔和惠普这些硬件厂商近期表示，它们会在物理服务器上交付像VMware这种虚拟机管理程序的嵌入式版本。基本上，嵌入式虚拟机管理程序因为比较小，所以比较安全。
专家认为，嵌入式虚拟机管理程序是将来的一大趋势。不但从未涉足过这个领域的一些公司会提供嵌入式虚拟机管理程序，大多数服务器厂商也会提供。 BIOS软件领域的市场领导厂商Phoenix Technologies近期宣布：进入虚拟机管理程序领域，首先会推出名为HyperCore的产品，即面向桌面和笔记本电脑的虚拟机管理程序。用户开机后，可以使用网络浏览器和电子邮件等客户软件，无须等待启动Windows（HyperCore将被嵌入到电脑的BIOS中）。
　　虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能出现的结果是，许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。Hoff说： “无论是Phoenix还是其他厂商，会出现备受关注的竞争，这些虚拟机管理程序都希望成为下一个优秀的操作系统。”
　　虚拟化数据中心安全步骤五：限制访问虚拟机权限
　　如果赋予了访问虚拟机的管理员级别权限，也就是赋予了访问该虚拟机上所有数据的权限。伯顿集团的Wolf建议，要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是，有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。Wolf又说： “有些厂商甚至本身就没有遵守VMware针对VMware Consolidated Backup的最佳实践。”
Arch Coal的信息安全管理员Paul Telle说，总体而言，公司特别注意限制访问虚拟机的管理员权限。他指出，公司里只有一小部分人才拥有这样的权限。
　　应用开发人员应该只有最小的访问权限。“我们的应用开发人员可以访问共享区域，这是最小的访问权限。他们无法访问操作系统。”他说，这有助于控制虚拟机数量激增，同时增强了安全性。
　　虚拟化数据中心安全步骤六：留意存储资源
有些企业在SAN上提供过多的存储资源，这就可能错误地让虚拟机的共享区域成为SAN的一部分。
　　如果使用VMware移动虚拟机的工具VMotion，会在SAN上分配一些分区存储资源。 但还要细化存储资源的分配，就像在物理环境下那样。展望未来，N-port ID虚拟化技术是一个选择，这项技术可以只为一个虚拟机分配存储资源。
　　虚拟化数据中心安全步骤七：隔离网段
　　企业走上虚拟化道路，不该忽视与安全有关的网络流量风险。但其中一些风险很容易被忽视，如果在进行虚拟化规划时没有网络和安全人员参与，更是如此。Wolf说： “许多企业只是把性能作为合并服务器的度量标准。”
举例说，有些CIO绝对不允许任何虚拟服务器出现在“非军事区（DMZ）”。（DMZ是存放外部服务到互联网的子网络，就像电子商务服务器一样，它在互联网和局域网之间增加了缓冲区）。
　　Wolf说，要是DMZ里面果真有几个虚拟机，就要放在与一部分旧系统（如关键的Oracle数据库服务器）分开在的独立网段上。
Abbene说，在Arch Coal公司，IT团队一开始就考虑到了DMZ.他们把虚拟服务器部署在内部局域网上，不面向公众。Abbene说： “这是一个关键的决定。”举例说，公司在DMZ里面有几台安全的FTP服务器以及几台从事简单电子商务的服务器，公司不打算把虚拟机部署到里面。

戈壁  发表于: 2009-10-13