4. 充分了解嵌入式管理程序的价值
或许你早已听说过"嵌入式"管理程序,这是IT管理人员必须了解的词汇。 服务器上的管理程序层是虚拟机的根基所在。 VMware公司近期发布的ESX Server 3i就是从安全角度出发而进行瘦身设计(32MB)的,不包含操作系统的应用。 (没有操作系统也就意味着没有操作系统维护上的麻烦)
像戴尔公司和惠普公司等硬件厂商近期都表示他们会在服务器出货时预装这种嵌入式VMwareHypervisor。 基本看来,嵌入式管理程序因为相对较小,所以更安全,互联网数据中心的艾略特表示。 "代码库越大,受攻击的可能性也越大,这由你选择的体系架构而定。"
嵌入式管理程序将会成为未来的一大发展趋势,艾略特表示,越来越多的服务器厂商会使用它们,有些厂商以前不使用的也会使用它们。美商凤凰科技公司(Phoenix Technologies)是一家BIOS软件领域的龙头厂商,近期它宣布加入管理程序的阵营,第一款产品将命名为HyperCore: 这是一款针对桌面型和笔记本电脑的管理程序,它能让用户在开机后就能使用网页浏览器和电子邮件客户端,而不需等到启动windows操作系统以后再这么做。 (HyperCore将会被嵌入到电脑的BIOS中。)
管理程序市场的竞争与创新对企业来说未尝不是一件好事,赫夫说道。 它能激励厂商争相提供体积更小、更为智能的管理程序软件。
"不管它是凤凰科技公司还是其它厂商,这场有趣的战争都会带领管理程序成为下一个卓越的操作系统"赫夫说道。
降低受攻击的可能性并非嵌入式管理程序的唯一强项。马自达公司的IT管理小组正期待即将到来的预置了VMware ESX server的戴尔服务器,马自达公司的IT系统经理Kai Sookwongse表示"我们所期待的功能之一是所有的虚拟机映像都能在存储区域网络上展现,当我们启动服务器时,它能从存储区域网络的映像上启动。这种集中管理与安全的方式也意味着马自达公司能够订购一台没有硬盘的服务器,从而达到物理安全的目的,他强调说。
5. 不要给虚拟机盲目指派过度的权限
务必牢记,在你对虚拟机指派管理级别的访问权限时,你就等于授权访问那台虚拟机的所有数据。 伯顿集团的沃夫建议你仔细斟酌管理人员需要哪些备份帐号和访问权限。 某些第三方厂商对于虚拟机的储存和备份安全问题所给出的建议都是过时的,沃夫补充道。 "这些厂商甚至连自己没有遵照VMware公司关于VMware整合备份的最佳实践来执行"。
Arch Coal公司就对所有的虚拟机设置了管理访问权限,该公司的信息安全管理员保罗.泰利表示他的同事汤姆.卡特以及Carter的上司是公司中为数不多的拥有最高权限的管理小组成员之一。
应用开发员的访问权限要尽量降低。 "我们要么降低应用开发人员的访问权限,要么让他们进行共享访问,控制他们对操作系统的访问权限"Carter说道。 这帮助公司控制了虚拟机的增长速度,同时提高了虚拟机的安全系数。
6. 对供应存储多加观察
某些企业如今在存储区域网络上的存储使用有些过度,沃夫说。这不是总体存储量太多的问题,而是你有可能让一台错误的虚拟机共享了部分的存储区域网络,他说。
如果你使用的是VMotion,那么你就等于在存储区域网络上分配了部分区域。你要使那些储存分配更加区位化,沃夫建议道。 N-port ID虚拟化就是一种可以让IT分配存储到虚拟机上的技术,这是一种值得深入研究的技术,沃夫说道。
7. 在网络分区中确保良好的隔离
随着虚拟化在企业中的广泛运用,他们不该忽视网络流量上与安全有关的风险。 但某些风险的确容易被大家忽略。尤其是当IT管理人员在进行虚拟化规划时没有让网络和安全人员参与的情况下。"许多企业仅仅使用性能作为度量方式来加强整合"沃夫说道。 (在评估定位哪些应用服务器在物理机中作为虚拟机的时候,IT团队趋向于先注重那些急用的应用服务器,因为他们不想让一个物理服务器承担太多的工作负载) "他们之所以会忽略这一点,是因为他们忘记了网络流量上的安全限制不允许他们将这些虚拟机定位在一起,"沃夫说道。
比方说,某些首席信息官决定不在DMZ建立任何虚拟服务器(DMZ是demilitarized zone的缩写,这是一个储存外部服务到互联网的子网络,就像电子商务服务器那样,在互联网和局域网之间增加一个缓冲)。如果你在DMZ中有虚拟机,那么你或许要将它们划分到物理分隔的网络分区中,使它与其它系统分隔开,比如某种关键的甲骨文数据库服务器,沃夫说道。
阿本尼说,在 Arch Coal公司,IT团队会在一开始就考虑到DMZ的因素。
他们在内部局域网中展开虚拟服务器,不面向公众。"这是早期一个关键的决定"阿本尼说道。比方说,该公司在DMZ中有一些安全FTP服务器和一些从事简单电子商务的服务器; 那就没有必要将虚拟机引入那块领域,他说。
8. 交换上的隐忧
"某些虚拟交换机如今被当网络中心来使用。在虚拟转换机中每一个端口都被映射到其它端口上"沃夫说道。"微软公司的虚拟化服务器就是这样。 而VMware公司的ESX Sserver则不会,思杰系统公司的 XenServer也不会。人们一听到‘交换机'就会认为有分隔存在。 其实它是根据厂商的不同而有所区别的"。
微软公司声称交换机问题将会在即将发布的Viridian服务器虚拟化软件中得到解决,沃夫补充道。
<<上一页
1
2
3
4
下一页>>
