例如,管理员可能会创建一个危及安全性的虚拟FTP服务器。或者,出于维护原因,他们可能无意中使用虚拟机迁移工具将服务器移动到不同的硬件上,而没有意识到新主机位于不可信的网络段上。
RSA的高级安全顾问Andrew Mule说,在虚拟基础设施中,没有实施最佳实践,或者没有建立明确的职责划分,是一个非常常见的问题。“今天的人们仍然不喜欢练习职责的划分。他们只会把皇冠上的珠宝送给一小部分人。他建议开发一个强大的变更管理流程,包括发行变更管理票据。
Rent-A-Center信息安全高级主管KC Condit同意这种观点。他表示:“在虚拟世界中,没有固有的职责分离,所以你必须把它建立起来。”变更管理、配置管理和访问控制对于保护虚拟基础设施至关重要。
合规是另一个问题。作为欧洲开发银行理事会(Council of Europe Development Bank)的系统工程主管,让-路易•阮(Jean-Louis Nguyen)需要监控活动,以确保140台虚拟机的管理员符合法规和管理要求。银行尝试使用VMware的日志功能,但需要更好的方法来整合信息。他说:“找到那些原木可不是件小事。”他最终使用了HyTrust的一个专用工具,该工具提供了所有活动的中央日志。
该银行还使用HyTrust为首席安全官建立了一个完全隔离的虚拟环境,首席安全官可以监控整个物理和虚拟服务器基础设施。
“关键是要确保你的管理没有管理员滥用,”Nguyen说。“我们需要确定,我们是在管理系统,而不是偷看数据。”
这个版本的故事最初出版在计算机世界的印刷版上。这篇文章改编自早前出现在Computerworld.com上的一篇文章。
这个故事,“虚拟化的可怕一面”最初是由《计算机世界》 。