- · 《中国报业》栏目设置[06/28]
- · 《中国报业》数据库收录[06/28]
- · 《中国报业》收稿方向[06/28]
- · 《中国报业》投稿方式[06/28]
- · 《中国报业》征稿要求[06/28]
- · 《中国报业》刊物宗旨[06/28]
报业私有云服务器虚拟化安全解析(3)
作者:网站采编关键词:
摘要:从安全角度来看,服务器虚拟化系统的管理网络最好与虚拟机网络分开,但很多管理员为了能方便地在局域网中随时随地进行管理,就将管理网络合并到虚
从安全角度来看,服务器虚拟化系统的管理网络最好与虚拟机网络分开,但很多管理员为了能方便地在局域网中随时随地进行管理,就将管理网络合并到虚拟机网络中,实际上这种配置带来了潜在的威胁,正如前面所谈到的远程访问管理,如果把管理网络合并到虚拟机网络,一定要注意远程访问管理的安全配置。实际上将管理网络独立于办公网,在物理连接上或者在逻辑连接上分开,是一种安全的配置方式。
迁移网络是服务器虚拟化高可用性中进行数据迁移的网络,该网络最好要高速,以减少迁移时间,使业务中断时间最小化,此外因为没有加密传输,该网络最好独立,比如若是双物理机配置,那么可以用网卡直连的方式配置迁移网络;如果是多机,可以采用独立的交换机进行连接。
4.防病毒
传统的防病毒策略是每台服务器上都需要安装防病毒软件,在虚拟化环境下,防病毒的策略有所演化,比如VMWare与趋势科技合作使用无代理方式为宿主机上的全部虚拟机部署防病毒系统,无代理方式是指在宿主物理机上安装防病毒软件系统之后,不必为每台虚拟机再安装杀毒软件,而是通过vShield Endpoint组件起作用,这比每台虚拟机上都安装杀毒客户端要节省资源和管理成本,体现集成管理的优势。当然,仅对防病毒加强安全而言,有代理方式也是可以的,但需要注意升级和扫描时间的安排,最好避免在同一时间为所有虚拟机的防病毒客户端进行升级或者例行扫描,否则会造成过多的额外负载。
5.安全监控
安全监控可以使庞大的虚拟机系统中可能存在的安全问题可视化,为系统管理员及时发现和解决安全问题打下基础。
常规的安全监控产品一般是监控一台物理主机,包括该主机硬件状况、进程运行状况和网络进出流量,或者是一个物理网络,包括该网络的拓扑结构、网络接口流量、主机流量等,通过统计分析来观察整个计算机系统的状况来及时发现安全问题。
相比而言,服务器虚拟化的安全监控除上述功能外,还要解决一些新的情况:同一台物理宿主机上运行着很多虚拟机,这些虚拟机之间以及各个虚拟机与外面之间存在比较复杂的数据通信,对于常规的安全监控产品,即使在每台虚拟机上都部署,一是统计分析起来比较复杂、会占用大量的虚拟机资源,二是对虚拟交换机上的流量缺少细致的分析,这样就比较难于定位安全故障点。目前国内外出现了很多基于虚拟化的安全监控研究,在某种程度上反过来也有利于对虚拟化自身的安全监控产品的研发,现在主流的服务器虚拟化系统十分注重安全监控,不仅自身具有部分监控功能,还提供API以供第三方厂商进行功能扩展。
6.数据安全
服务器虚拟化的一个突出特点是:一个虚拟机全部数据都打包到虚拟层的几个磁盘文件中,每个虚拟化磁盘文件对应虚拟机中的一块磁盘,因此物理环境中关于硬盘的数据安全在虚拟机环境中就转化为虚拟磁盘文件的数据安全,重点关注两方面的问题:一是防丢失、二是防泄露。
防丢失主要采取数据的冗余和备份策略,服务器虚拟化的数据一般都基于存储阵列存放,存储阵列有RAID配置,具备一定的数据冗余度,提高因为物理硬盘损坏而导致数据丢失的预防能力,此外还有各种备份手段来适当加强数据的冗余度,比如快照、全备份、增量备份、异地同步或者异步灾备、磁带备份等。
防泄露主要是防止数据的非法访问和窃取,这方面涉及的内容比较多,首先是防止物理上的非法侵入,加强机房安全管理和监控,数据备份点也要安全;再是虚拟化的物理存储区域尽可能独立,确保安全性,防止IP网络入侵;第三,对虚拟机所在的物理宿主机层进行保护,加强管理接口的权限管理,杜绝非授权访问;第四,时刻关注虚拟层是否有安全漏洞,及时修正;第五,必要时采取数据加密存储和传输机制,以防万一;第六,配置全方位的安全监控机制,及时发现数据安全问题,并在第一时间修复。
案例分析
大众报业集团对服务器虚拟化在生产环境的应用进行了较长时间的探索,从2005年开始将小型非关键应用运行在Microsoft Virtual PC或者VMWare GSX Server虚拟机当中,再后来将小型关键应用运行在VMWare Server虚拟机中,并尝试了电子邮件系统的虚拟机部署方式,都取得了比较理想的效果,到如今通过VMWare vSphere虚拟化,进行企业私有云计算的规划、设计和建设,将生产环境的报纸采编、全文检索、多种ERP应用等关键应用迁移到服务器虚拟化平台中,积累了一定经验:对于云计算的服务器虚拟化而言,实现起来其实并不是一件难事,可以说很容易就能做到,目前主流的虚拟化产品都具备友好和简洁的安装过程,真正的难点在于性能和安全规划、设计和管理。
文章来源:《中国报业》 网址: http://www.zgbyzzs.cn/qikandaodu/2021/0203/719.html
上一篇:报业云计算信息安全数据中心建设
下一篇:报业云计算与虚拟化服务平台的建设研究