如何管理虛擬主機的安全性

當(dāng)部署一個內(nèi)部基礎(chǔ)設(shè)施即服務(wù)（IaaS）云計算時，有一個廣泛的安全性方面的考慮，即企業(yè)不僅必須考慮滿足安全性最佳實踐的要求，而且也應(yīng)符合監(jiān)管的要求。

在本文中，我們將具體討論如何控制虛擬機實例、管理平臺、以及支持IaaS實施的網(wǎng)絡(luò)與存儲基礎(chǔ)設(shè)施。

虛擬機實例

首先，虛擬機（VM）的操作系統(tǒng)和應(yīng)用程序必須是被鎖定的，同時必須使用現(xiàn)有的規(guī)則進行正確的配置，如來自于互聯(lián)網(wǎng)安全中心（CIS）的指導(dǎo)準(zhǔn)則。正確的虛擬機管理還可能會產(chǎn)生更為健全和一致的配置管理措施。

在虛擬機實例上創(chuàng)建和管理安全配置的關(guān)鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機而創(chuàng)建一個“黃金鏡像”是非常明智的做法。應(yīng)當(dāng)為這個模板打好基線并執(zhí)行嚴(yán)格的修訂控制措施，以確保所有的補丁和其他更新都能夠及時地得到應(yīng)用。

很多虛擬化平臺為確保虛擬機的安全性都提供了特定的控制措施；企業(yè)用戶當(dāng)然應(yīng)該充分使用好這些功能。例如，VMware公司的虛擬機配置設(shè)置可特別地限制虛擬機與底層管理程序之間的復(fù)制和粘貼操作，這一措施可有助于防止敏感數(shù)據(jù)被復(fù)制到管理程序的內(nèi)存和剪貼板。微軟公司和Citrix System公司的平臺產(chǎn)品可提供類似的防復(fù)制粘貼的限制措施。其他的平臺功能可以幫助企業(yè)禁用不必要的設(shè)備、設(shè)置日志記錄參數(shù)等等。

此外，當(dāng)確保虛擬機實例安全性時，請務(wù)必根據(jù)標(biāo)準(zhǔn)數(shù)據(jù)分類原則隔離在不同云計算區(qū)域運行的虛擬機。由于虛擬機是共享硬件資源的，所以在相同云計算區(qū)域內(nèi)運行虛擬機可能會導(dǎo)致數(shù)據(jù)在內(nèi)存中發(fā)生錯誤，雖然如今這種錯誤發(fā)生的概率是極低的。

管理平臺

確保虛擬環(huán)境安全性的第二個關(guān)鍵在于確保管理平臺的安全性，這個管理平臺會與虛擬機交互、配置和監(jiān)控使用中的底層管理程序系統(tǒng)。

這些平臺（如VMware vCenter、Microsoft系統(tǒng)中心虛擬機管理器（SCVMM）以及Citrix XenCenter）都配有他們自己可實施的本地安全控制措施。例如，Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權(quán)限，除非在安裝過程中相關(guān)角色和權(quán)限被修改。

當(dāng)談及管理工具時，確保管理數(shù)據(jù)庫的安全性是最為重要的，但是很多產(chǎn)品的默認(rèn)設(shè)置并不具備內(nèi)在的安全性。最重要的是，必須在管理平臺內(nèi)為不同的運營角色分配角色和權(quán)限。雖然很多企業(yè)都擁有一支在IaaS云計算內(nèi)管理虛擬機運行的虛擬化運營團隊，但是在管理控制臺內(nèi)不授予過多的權(quán)限是其中的關(guān)鍵原則。我建議分別為存儲、網(wǎng)絡(luò)、系統(tǒng)管理及其它團隊授予不同的相關(guān)權(quán)限，就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中一樣。

對于諸如vCloud Director和OpenStack這樣的云計算管理工具，應(yīng)當(dāng)仔細分配角色和權(quán)限，但其中必須包括云計算虛擬機的不同最終用戶。例如，開發(fā)團隊?wèi)?yīng)當(dāng)擁有用于他們工作任務(wù)的虛擬機，這些虛擬機應(yīng)當(dāng)與財務(wù)團隊使用的虛擬機隔離開。

所有的管理工具都應(yīng)被隔離在一個單獨的網(wǎng)段中，而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統(tǒng)是一個好主意，在這樣的代理平臺上你可以建立強大的認(rèn)證和集中授權(quán)用戶監(jiān)控。

網(wǎng)絡(luò)和存儲基礎(chǔ)設(shè)施

雖然確保推進IaaS云計算的網(wǎng)絡(luò)和存儲的安全性是一項涉及范圍頗廣的任務(wù)，但還是有一些應(yīng)當(dāng)實施的通用最佳實踐。

對于存儲環(huán)境而言，請謹(jǐn)記，如同其他任何的敏感文件一樣，必須保護好虛擬機。某些文件存儲有效的內(nèi)存或內(nèi)存快照（可能是最敏感的，如可能包含的用戶憑據(jù)和其他敏感數(shù)據(jù)），以及其他的文件代表系統(tǒng)的完整硬盤。在這兩種情況下，這個文件中都包含了敏感數(shù)據(jù)。在存儲環(huán)境中使用單獨的邏輯單元號（LUNs）和區(qū)/域以隔離不同敏感性的系統(tǒng)，這是至關(guān)重要的。如果存儲區(qū)域網(wǎng)絡(luò)（SAN）級加密功能可用，請考慮它是否適用。

在網(wǎng)絡(luò)側(cè)，請務(wù)必確保單個網(wǎng)段是隔離的，并在虛擬本地局域網(wǎng)（VLAN）和訪問控制措施的掌控之下。如果在虛擬環(huán)境下細粒度安全控制是必須的，那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測設(shè)備。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設(shè)施，而傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商的其他產(chǎn)品也是可用的。此外，還應(yīng)考慮敏感虛擬機數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段，如vMotion網(wǎng)絡(luò)。在這個VMware環(huán)境中，明文內(nèi)存數(shù)據(jù)將從一個管理程序傳輸至另一個，從而使敏感數(shù)據(jù)易于泄漏。

結(jié)論

當(dāng)談及確保虛擬環(huán)境或IaaS私有云計算安全性時，上述控制措施的三個方面只是冰山一角。如需了解更多信息，VMware有一系列深入強化的實用指南以用于評估具體的控制措施，而OpenStack在其網(wǎng)站上提供了一個安全性指南。通過遵循一些基本的做法，企業(yè)可以構(gòu)建他們自己的內(nèi)部IaaS云計算，并確保它們能夠滿足他們自己的標(biāo)準(zhǔn)和所有其他必要的行業(yè)要求。
騰佑科技作為國內(nèi)頂級互聯(lián)網(wǎng)基礎(chǔ)應(yīng)用服務(wù)提供商，有自己的自主機房和產(chǎn)權(quán)，擁有雙線服務(wù)器，擁有大型的機房三座，順應(yīng)時代發(fā)展和客戶需求，在服務(wù)器托管和服務(wù)器租用方面，具備多項優(yōu)勢，特別適用于對網(wǎng)站運行質(zhì)量有較高要求的用戶。而且有自己成熟的虛擬化技術(shù)，推出了虛擬主機租用，經(jīng)過一部分客戶的試用，贏得了一致好評。同事提供域名注冊，智能建站、自助建站等服務(wù)，歡迎廣大客戶前來選購。
騰佑科技為了最大限度的滿足了全國各地的客戶對服務(wù)器租用托管的各種需求，使網(wǎng)絡(luò)的傳遞速度更快速更便捷。正是由于它穩(wěn)定、快速的IDC機房服務(wù)，騰佑科技才能贏得眾多公司的認(rèn)可。騰佑科技是你服務(wù)器托管和服務(wù)器租用的最佳的選擇。
由www.mubashirfilms.com提供