数据中心的三类虚拟化安全问题及其对策

  【天极网服务器频道8月19日消息】整合资源、成本控制、动态配置和动态迁移等因素正在推动大多数IT部门试验某种形式的虚拟化平台,推动虚拟化技术在数据中心的应用。在云计算等新兴技术趋势驱动下的大规模基础设施让虚拟化技术成为云数据中心的必备组件。

  然而虚拟化平台正在面临安全问题,虚拟化平台增加了额外的一层安全要求。向数据中心的虚拟机迁移需要重新设计安全计划和架构,可能引起的潜在问题包括:事件反应、虚拟化基础设施、隔离区设计。

  事实上,与虚拟平台本身有关的风险仍然是不清楚的,因为目前对于内部管理程序和平台安全还没有大量的解决方案。虽然从战术方面看管理程序是数据中心中最不容易被利用的部分,但是,从战略上看,管理程序是虚拟数据中心最诱人的攻击目标,因为攻破这一点就可以访问数据中心的多个虚拟系统。

  企业应该分析自己使用的虚拟平台的具体风险。重要的是要知道这个架构的变化如何影响到现有的安全管理系统。企业IT部门在向虚拟机迁移或者应用虚拟机之前还应该制定战术的和战略的安全计划。这些安全计划是通过对现有的虚拟安全进行综合分析实现的,同时还要计划应付虚拟平台的未来的安全威胁。规划以及当前架构和安全管理中的小的变化有助于防御未来的管理程序和平台级的虚拟化攻击。

  为了解决把虚拟化引进到数据中心所产生的安全问题,我们需要解决三种类型的虚拟化安全问题:当引进新的虚拟化技术时,数据中心增加了新的安全风险,例如,在一个管理管理程序中运行多个虚拟机的风险;虚拟机镜像和客户操作系统的安全;物理安全设备的虚拟实例,例如,从一个物理防火墙和入侵防御系统进入运行同样服务的虚拟镜像。

  综上所述,作为整个虚拟化安全架构的一部分,IT部门应该把重点放在三个虚拟化方面:按照位置分开虚拟机;按照服务类型分开虚拟机;在整个虚拟机生命周期内实施有预见性的安全管理。

  虚拟安全领域经常讨论的问题之一是在隔离区使用虚拟化平台。经常看到一个物理主机在隔离区运行公共的和专有的虚拟机。在实践上,这种架构没有物理环境的架构那样安全,因为这种架构的虚拟机和物理机器共享运行环境。虚拟平台上的一切都是由相同的软件共享和管理的。从理论上说,这个共享的虚拟架构提供了从公共网络向专有网络机器实施直接攻击的线路。

  消除共享的隔离区资源的安全威胁的解决方案是在物理上把公共的虚拟机与专用的虚拟机分开,在不同的主机上运行和管理这些虚拟机。所有公开的虚拟机都应该放置在公开的主机服务器上。对于使用VMware公司的vCenter技术大规模实施虚拟化的企业来说,把公共资源与专用资源集群(许多组主机根据资源组成一个单一的管理池)分开也是很重要的。例如,VMware公司的DRS软件能够在一个集群中的主机之间动态迁移虚拟机。如果公共的和专有的主机在一个集群中是共享的,一个DRS事件就可以根据资源的需求把一个专用的虚拟机迁移到公共主机服务器,从而取消了任何资源区分的好处。

  一旦根据位置分开虚拟资源之后,下一步就是根据任务或者服务分开虚拟机。换句话说,就是让全部的服务器虚拟机在一个资源池和集群中,让所有的应用虚拟机在另一个资源池或者集群中。同在隔离区内分开位置一样,这个架构旨在限制那些与虚拟化平台有关的风险。如果一个攻击者能够攻破一个客户虚拟机,在同一个物理主机上运行的其它客户机预计也会被攻破,因为它们共享同样的运行环境。这对于企业业务的威胁是巨大。

  另一方面,如果一个主机服务器正在所有的应用层运行(这些应用层包括应用程序服务器和数据库服务器),攻击者通过利用前端网路浏览器漏洞能够获得后端数据库的访问权限。这样的结果是应用服务器也将面临很大的安全威胁。根据服务分开虚拟机有助于缓解这个风险,方法是隔离虚拟应用程序并且让虚拟机保持与具体的硬件资源和集群的联系。

  虚拟机和平台的主要好处之一是能够方便地创建、移动和撤销虚拟机。当需要新的服务的时候,可以创建虚拟机或者提取存档的虚拟机,然后根据需要进行设置。随着需求的增长,人们可以克隆虚拟机或者动态地为虚拟机分配额外的资源。随着需求的减少,人们可以撤销这些虚拟机的设置,使这些虚拟机不再消耗资源。虚拟机的创建、移动和销毁过程构成了虚拟机的生命周期。

  虚拟机在生命周期的每一个步都容易受到安全威胁。当从头开始创建新的虚拟机的时候,重要的是要保证虚拟机使用最新的安全补丁和软件。当克隆虚拟机镜像和移动虚拟机的时候,重要的是保持每一个虚拟机的稳定状态,以便了解这些虚拟机是否需使用了最新的补丁或者是否需要使用补丁。

  随着时间的推移,很容易重复地克隆一个使用了补丁的虚拟机镜像,最终使各种虚拟机保持各种补丁水平。由于镜像存储很长时间没有使用,这些虚拟机可能会过时,需要在使用的间歇时间里离线使用补丁,以保证它们在下一次启动的时候尽可能是安全的。同迁移的虚拟机一样,资产管理对于销毁虚拟机和防止闲置的虚拟机在数据中心蔓延成为未知威胁的攻击目标是非常重要的。

  总之,虚拟化技术在带给数据中心运维方便的同时,安全问题也随之出现。在虚拟机和物理机并存的环境下,数据中心运维面临新的挑战。如何实现虚拟化下数据中心的高效运转,成为数据中心管理人员新的课题。

网上商城商品/规格/促销价格(作者:李祥敬责任编辑:李祥敬)

时间: 2024-10-18 11:50:16

数据中心的三类虚拟化安全问题及其对策的相关文章

数据中心爆发式增长 安全问题仍“压力山大”

近年来,作为互联网.云计算.大数据发展的重要基础设施,数据中心建设备受关注.近日,记者从2017开放数据中心峰会获悉,如今的数据中心已从最初简单的"数据仓库",发展成为数据交互.信息处理和数据分析的数据综合管理平台. "2010年以来,我国数据中心产业实现高速增长,市场规模平均每两年翻一番.随着以互联网为核心的新一轮科技和产业革命的蓄势待发,物联网.人工智能.虚拟现实等新技术日新月异,数据中心有望迎来新一轮的建设高潮.同时,新技术.新业态对数据中心IT设备.网络的要求逐渐提高

数据中心是否“云计算” 虚拟化和SOA是关键

本文讲的是数据中心是否"云计算" 虚拟化和SOA是关键,[IT168 资讯]新一代数据中心一大特点就是运营的弹性,IBM认为,全新企业级数据中心要做到弹性,就要做到类似云计算的架构.云计算并不限制应用程序与硬件间必然的关系,也就是通过平行运算的方式,一个应用程序可以在不同的硬件上执行,全面解除应用服务与硬件资源间的固定对应关系. 但也有业界人士表示,数据中心要做到这样的弹性相当不容易,如果将数据中心简单的划分为硬件与软件两个层面,IBM未来数据中心的面貌就是将底层的硬件,包含服务器.储

梦工厂数据中心:云和虚拟化不到20%

看过梦工厂各个工作室所生产的电脑特效画面,你可能会以为他们的数据中心应该是云数据中心.全虚拟化的.扁平架构的,而且带固态存储(SSD)的.如果你真这么想,那就错了一大半. 梦工厂动画部基础设施运营全球总监Mike Cutler称,梦工厂的服务器只有约15%虚拟化了,所生产的电脑动画渲染工作中只有约20%是利用云服务完成的,而且梦工厂目前还没有发现对SSD有什么需求. 梦工厂数据中心的存储容量为3.8PB,拥有4000台服务器,25000颗CPU.工作区还为员工提供免费食品和医疗保健服务. 加州雷

软件定义数据中心(SDDC)安全问题引人注目

随着业务由向"云优先"设施转向运营.性能和可扩展性发展,软件定义数据中心(SDDC)的概念逐渐吸引了IT决策者的目光. 软件定义数据中心(SDDC)的核心是硬件和软件的抽象,提出了一种将数据中心视为由软件层控制和管理的大量物理和虚拟资源的全新的方式.然而,根据HyTrust在近期发布的一份调查报告中表示,企业在实际实施SDDC的过程中遇到了一些安全问题. 使用SDDC虚拟化服务器.网络和存储,安全是阻止企业使用完全成熟的软件定义数据中心的主要障碍.约60%的受访者(包括IT系统管理员和

为数据中心提效 虚拟化技术VSE

目前,企业数据中心越来越普及,企业业务应用越来越复杂,对传统的资源固定分配模式的IT基础设施提出了严重挑战.人们已经越来越清楚地看到:许多按照传统模式建立起来的IT系统存在的症结,关键不是性能不够,而是适应变化的能力不够.作为业界第一套可交付(产品化)的全面实现服务器虚拟化的产品,HP VSE(Virtual Server Environment,虚拟服务器环境)在众多数据中心的实践应用表明,虚拟化技术能集中并共享资源,实现降低成本.优化利用率的目的.目前,HP VSE正在得到大规模的普及应用.

是否应该为数据中心投资服务器虚拟化管理软件系统?

取决于您企业的特定数据中心需求,服务器虚拟化管理软件或将是一项有益的投资. 如果您企业正在考虑是否选择管理软件,那么本文中所介绍的七大主要考虑因素或将为您提供一定的借鉴和帮助.这些管理软件系统可以有助于改善提高管理维护和总体效率,并提供有用的功能,而这一切都将取决于您企业数据中心的特性. 企业是否需要采购服务器虚拟化管理软件呢? 鉴于当前市场上有许多不同的供应商提供服务器虚拟化管理软件,故而企业数据中心的管理员们有理由质疑这些纷繁的产品是否适合他们所在的企业.而当在这样做时,有七大主要考虑因素是

通过数据中心整合和虚拟化实现高密度服务器配置

在数据中心普及化的高潮中,服务器整合与虚拟化是两个主要趋势.随着整合技术的发展,数据中心把更多的重点放在了SAN和NAS技术及刀片服务器架构的推进上. 虚拟化是另一种整合方式.有了虚拟化技术,你就无需在有限的资源条件下布署大量的服务器.你可以将它们虚拟化到数量更少但功能更为强大的机器上,从而节省硬件成本和电力消耗. 如果你遵循了这条思路,下一步几乎就是水到渠成--如果将刀片服务器.SAN和虚拟化技术结合起来,你可以实现高密度服务器配置,与其中任何一种方案相比,其效果都会成倍地增长. 什么是高密度

数据中心服务器托管VMware虚拟化网络配置最佳实践

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://dgd2010.blog.51cto.com/1539422/1765796 通常把自己购买的服务器托管到一个具有双线网络接入的机房是一个不错的选择,每年的成本在1万元左右. 虚拟化能通过增加硬件的利用率来降低运行和维护物理服务器的成本.可以减少运行服务器工作负载所需的硬件数量.虚拟化的核心优势在于通过"一虚多"的方法提高灵活性和可扩展性,简化IT管理降低资金和运维等方

云计算趋势下数据中心虚拟化的注意事项

如今,云计算.大数据.社交.网络四大新兴趋势快速发展,大大推动了企业信息化的建设步伐.但企业在享受这些新趋势带来的商机和便利的时候,也不得不面对服务器等IT基础设施爆炸性增长带来的后果:服务器机柜不断增加,机房空间不断扩大,UPS电源.机房空调等相关设施不断增加投入,信息能耗快速增加,对服务器软硬件管理也变得越来越复杂. 建设一个数据中心很容易,但运营起来就似乎没那么轻松,首先要面对的就是能耗难题.按一台服务器功率200瓦计算,它一天将会消耗5度电,一般的数据中心至少会拥有上百台服务器,大的甚至