提高企業虛拟化安全
在企業運用虛拟化技術過程當中(zhōng),也還在犯着過去(qù)二十年來的安全性錯誤,這主要是由于它們沒有意識到,在不同角度上新技術會帶來同樣的安全風險。下(xià)面,本文将向你介紹如何提高數據中(zhōng)心的虛拟化安全。
在虛拟化環境中(zhōng),若某個虛拟系統或者虛拟程序受到潛在威脅,則勢必會影響到其他系統或者程序并進而嚴重威脅到企業自身的安全。随着虛拟化技術在數據中(zhōng)心應用方面日益普及,下(xià)面,将具體(tǐ)談到解決虛拟化安全挑戰的五個方面:
1、把安全計入整體(tǐ)成本
在考慮到虛拟化時,企業一(yī)般都會通過節約成本提高服務器利用率,以及整合數據中(zhōng)心的服務器來實現——基于硬件的節省和供應成本的降低。事實上,安全也應該納入到成本核算體(tǐ)系當中(zhōng)。比如,提供監測、入侵檢測、補丁驗證和追蹤的虛拟設備成本,已經其他需要安裝到各個物(wù)理平台上的安全服務器。這樣可以減少每個物(wù)理主機所需支持的虛拟服務器,從而也影響到投資(zī)回報率。
2、把安全視作虛拟化設計階段的首要因素
企業需要對虛拟世界監測安全性能指标——需要在隔離(lí)應用程序和系統方面做出聰明的抉擇。例如,把信用卡信息從虛拟環境中(zhōng)分(fēn)離(lí)出來,可以有效地減少PCI(支付卡行業)追蹤相關電子交易信息。然而,在面向互聯網的Web服務器中(zhōng)存儲信用卡信息,并在同一(yī)物(wù)理主機上設有核對目錄清單的應用服務器,這樣會導緻數據庫管理訂單追蹤面臨更大(dà)的威脅。
3、監視無形網絡
雖然物(wù)理服務器環境之間的數據,是通過一(yī)個物(wù)理網絡來傳輸的、并且也是可以監控的,與此相對,虛拟服務器則是連接到一(yī)個虛拟網絡環境中(zhōng)——這就使得在虛拟主機之間,監測和保護傳輸中(zhōng)的數據變得十分(fēn)困難。對此,現實當中(zhōng)經過驗證的解決方案有:适用虛拟環境下(xià)的入侵檢測和嗅探器。其他的解決方法則包括加強監控、虛拟補丁管理以及虛拟系統環境中(zhōng)的安全調查工(gōng)具。
4、監控便攜式存儲設備
對于虛拟環境而言,再沒有比監控個人數據存儲設備的使用更重要的了。得益于便攜的天性和虛拟服務器映像的優點,虛拟化是一(yī)項很出色的促進數據恢複的技術。企業組織可以把系統映像拷貝到一(yī)個硬盤當中(zhōng)以便将來恢複系統,也可以把映像連接到複制後的數據之中(zhōng)。
但是,USB閃存盤、安全數碼卡和iPods都可以提供數GB的移動存儲給任何一(yī)個用戶——包括那些想拷貝一(yī)些服務器映像并且逃之夭夭的人。擁有一(yī)套對付這些設備的管理方案,對于保護敏感信息或者個人、商(shāng)業信息都是十分(fēn)必須的。
5、緊盯最新虛拟化安全研究
在2008年的DEFCON黑客會議上,一(yī)些身處最前沿的安全研究員(yuán)展示了多種攻擊管理軟件的方法,而這些被攻擊的管理軟件又(yòu)會反過來損害虛拟主機,使公司的資(zī)産比如信用卡資(zī)料、薪金和福利以及專有的業務戰略等信息外(wài)洩。請記住,這些潛在的攻擊還僅僅是冰山一(yī)角。企業需要有針對最新安全研究的專門部署,并在某些情況下(xià),即使無計可施也要采取其他方面的控制手段。
這五個方面反映了信息安全必須納入評估、設計和執行虛拟化環境以及保護數據安全和滿足相關要求的戰略觀點。随着衆多企業關注虛拟化帶來的種種好處,它們也必須審查将會面臨的核心風險——意味着安全需要從一(yī)開(kāi)始就重視起來。