专家认为,嵌入式虚拟机管理程序是未来的一大趋势。 不仅一些从未涉足该领域的公司提供嵌入式虚拟机管理程序,大多数服务器供应商也是如此。 BIOS软件的市场领导者最近宣布将进军虚拟机管理程序领域,并将首先推出一款名为Hypervisor的产品,适用于台式机和笔记本电脑的虚拟机管理程序。 用户打开计算机后,无需等待启动即可使用网络浏览器和电子邮件等客户端软件(它将嵌入计算机的BIOS中)。
虚拟机管理程序市场的竞争和创新对企业有利。 最终可能发生的情况是,许多公司将竞相提供最精简、最智能的虚拟机管理程序软件。 霍夫说:“无论是来自其他供应商还是来自其他供应商,都会出现引人注目的竞争,这些虚拟机管理程序正在努力成为下一个伟大的操作系统。”
5.限制对虚拟机的访问
如果您授予访问虚拟机的管理员级别权限,则您将授予对虚拟机上所有数据的访问权限。 Burton Group 的 Wolf 建议仔细考虑您的员工需要哪些帐户和访问权限。 使问题更加复杂的是,一些第三方供应商关于虚拟机安全存储和备份的建议已经过时。 沃尔夫补充道:“一些供应商本身甚至没有遵守有针对性的最佳实践。”
Arch Coal 的信息安全管理员 Paul Telle 表示,一般来说,公司会特别注意限制管理员对虚拟机的访问。 他指出,公司里只有一小部分人有这样的权力。
应用程序开发人员应拥有最低限度的访问权限。 “我们的应用程序开发人员可以访问共享区域,这是最小的访问权限。他们无权访问操作系统。” 他说,这有助于控制虚拟机的扩散,同时提高安全性。
6.注意存储资源
有些企业在SAN上提供了过多的存储资源,这可能会错误地使虚拟机的共享区域成为SAN的一部分。
如果使用工具移动虚拟机,一些分区存储资源将分配在SAN上。 但存储资源的分配也需要细化,就像在物理环境中一样。 展望未来,N端口ID虚拟化技术将存储资源仅分配给一台虚拟机,是一种选择。
七个隔离网段
企业走上虚拟化之路时,不应忽视与安全相关的网络流量风险。 但其中一些风险很容易被忽视,特别是在规划虚拟化时没有网络和安全人员参与的情况下。 “许多公司只是使用性能作为整合服务器的指标,”沃尔夫说。
例如,一些 CIO 永远不会允许任何虚拟服务器出现在“非军事区 (DMZ)”中。 (DMZ是一个存储外部服务到Internet的子网,就像电子商务服务器一样。它在Internet和LAN之间添加了一个缓冲区)。
Wolf表示,如果DMZ中有多个虚拟机,则应将它们放置在与某些遗留系统(例如关键数据库服务器)分开的网段上。
他说,在 Arch Coal,IT 团队从一开始就考虑了 DMZ。 他们将虚拟服务器部署在内部局域网上,不面向公众。 说:“这是一个关键的决定。” 例如,公司在DMZ有几台安全FTP服务器和几台从事简单电子商务的服务器,公司不打算在那里部署虚拟机。
关于开关的八个注意事项
什么时候开关不是开关? “一些虚拟交换机的工作方式就像集线器:每个端口都镜像到虚拟交换机上的每个其他端口,”Wolf 说。 尤其是现在微软带来了这个问题。 ESX 不会,Citrix 也不会。 “当人们听到‘开关’时,他们认为存在隔离。这实际上取决于供应商,”他说。
微软声称交换机问题将在即将推出的服务器虚拟化软件产品中得到解决。
九个监控“非法”虚拟机
需要担心的不仅仅是服务器。 Wolf 说:“最大的威胁来自客户端恶意虚拟机。” 那么,什么是恶意虚拟机? 用户可以下载和使用该免费程序,台式机和笔记本电脑用户可以运行任何由 ESX、Windows XP 或 ESX 创建的虚拟机。
如今,许多用户喜欢在台式机或笔记本电脑上使用虚拟机来分隔工作的不同部分,或者将业务和私人事务分开。 有些人使用在一台机器上运行的多个操作系统。 例如,使用Linux作为基本操作系统,但创建虚拟机来运行应用程序。
“那些虚拟机甚至没有打补丁,”沃尔夫说。 “这些系统暴露在网络上,所有非托管操作系统都容易受到攻击。”
这增加了很多风险:运行恶意虚拟机的机器可能会传播病毒。 更糟糕的是,它可能会传播到物理网络上。 例如,有些人可以轻松加载 DHCP 服务器来分配虚假 IP 地址。 这实际上是拒绝服务攻击。 至少,IT 资源会浪费在识别问题上。 它甚至可能是简单的用户错误,给网络带来不必要的负担。
那么如何防止非法虚拟机呢? 首先要做的是控制谁可以访问它(因为创建虚拟机需要它)。 IT 部门还可以使用组安全策略来阻止某些可执行程序运行,例如安装虚拟机所需的程序。 另一种选择是定期审核用户的硬盘驱动器。 需要识别并标记包含虚拟机的计算机,以便 IT 部门能够采取适当的操作。
这是否已成为用户和 IT 部门之间的另一个争论点——精通技术的用户需要在工作中像在家里一样访问虚拟机? 狼说还没有。 “大多数 IT 部门都忽视了这一点,”他说。
如果允许用户在自己的计算机上运行虚拟机,Lab 和其他管理工具可以帮助 IT 部门控制和监督这些虚拟机。
10. 准备虚拟化安全预算
IDC 表示:“确保为虚拟化安全和管理分配预算。” Arch Coal 指出,您可能不需要在安全预算中为虚拟化安全设置单独的线路,但最好为其留出足够的总体安全预算。 资金。
此外,在估计虚拟化的投资回报时,请注意安全成本。 Hoff指出,虚拟化越来越多的服务器并不会减少安全开支,因为需要使用现有的安全工具来管理每个虚拟机。 如果没有预计到这笔费用,可能会降低投资回报。
据称,这是当今的一个常见错误。 据副总裁Neil介绍,到2009年,大约90%已部署的虚拟化技术将面临意外成本,如安全成本等,这将影响投资回报。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。