请记住,当您向VM提供admin级别的访问权限时,也就提供了对VM上所有数据的访问权限。伯顿集团(Burton Group)的沃尔夫(Wolf)建议,仔细考虑一下负责备份任务的员工需要什么样的账户。Wolf补充道,一些第三方供应商提供的关于存储和备份问题的虚拟机安全性的建议实际上已经过时了。他说:“一些供应商甚至没有遵循VMware统一备份的最佳实践。”
Arch Coal的信息安全管理员保罗•特勒(Paul Telle)表示,该公司很注重限制管理员对其虚拟机的总体访问权限。他指出,他的安全同事汤姆•卡特(Tom Carter)和卡特的老板属于拥有这些权限的极少数人。
应用程序开发人员获得最小的访问。“我们的应用程序人员可以访问分享,或者最小访问......无法访问OS,”Carter说。这有助于控制VM蔓延,同时增加安全性。
6.观看您如何提供存储
Wolf说,现在有些企业在san上过度供应存储资源。这并不是说你配置了太多的存储空间;而是你可能让错误的虚拟机共享了SAN的一部分,他说。
如果你使用VMotion (VMware的移动虚拟机工具),你需要在san中分配一些分区存储。但沃尔夫建议,您可能希望将存储分配变得更细粒度,就像在物理世界中那样。展望未来,端点ID虚拟化——一种让IT部门只将存储分配给一个vm的技术——是一种值得研究的选择,Wolf说。
7.确保跨网段的良好隔离
随着企业的虚拟,他们不应该忽略与安全相关的网络流量风险。但是,这些风险中的一些可能无意中被忽视,特别是如果它在进行虚拟化计划的同时将网络和安全人员带到桌面上。“很多组织只是使用表现作为如何整合的公制,”沃尔夫说。(当评估哪个应用程序服务器在一个物理框上将其作为VMS定位为VM时,IT团队倾向于首先关注饥饿的性能饥饿的应用程序服务器,因为您要避免询问任何一个物理箱承受太多负载。)“他们忘记了因为网络流量的安全限制,他们不应该将这些虚拟机定位在一起,”沃尔夫说。
例如,一些cio决定不允许在DMZ(也称为非军事区,用于容纳Internet外部服务的子网,如电子商务服务器,在网络和LAN之间添加缓冲区)中使用任何虚拟服务器。
Wolf说,如果DMZ中确实有一些vm,则可能希望它们位于与其他系统(比如关键的Oracle数据库服务器)物理分离的网段上。
在Arch Coam,IT团队从一开始就想到了DMZ,阿比德说。
他们在内部局域网部署了虚拟服务器,但没有面向公众。“这是一个关键的早期决定,”Abbene说。例如,该公司有一些安全的FTP服务器和一些在DMZ中执行轻量级电子商务的服务器;他表示,该公司没有在中国推出虚拟机的计划。
8.担心交换机
什么时候开关不是交换机?“一些虚拟交换机的表现得像一个集线器:每个端口都镜像到虚拟交换机上的所有其他端口,”Burton Group的Wolf说。微软的虚拟服务器沃尔夫说,特别是今天呈现出这个问题。VMware的ESX SServer没有,也不是Citrix XenServer。“人们听到”交换机“一词并认为孤立存在。它真的因供应商而异,”沃尔夫说。
微软已表示,在微软即将推出的Viridian Server虚拟化软件产品中,将解决交换机问题,狼增加了。
9.桌面和笔记本电脑上的“流氓”虚拟机监控
服务器不是你唯一的担心。“最大的威胁是在客户端盗贼VMS上,”伯顿集团的狼说。什么是流氓VM?请记住,沃尔夫说,您的用户可以下载并使用免费程序VMware的球员,它允许桌面或笔记本电脑用户运行由VMware Workstation、Server或ESX Server创建的任何虚拟机。
许多用户现在喜欢在桌面或笔记本电脑上使用虚拟机来分开工作,或工作和家庭相关活动。有些人使用VMware播放器在机器上运行多个操作系统;用Linux表示为基本操作系统,但为运行Windows应用程序创建VM。(IT团队还可以使用VM播放器评估配置为VM的虚拟设备软件产品。)
“经常,那些VMS甚至不是在正确的补丁水平,”沃尔夫说。“这些系统会接触到您的网络。现在所有这些无托管的象魔都可以漂浮。”
“你在那里添加了很多风险,”沃尔夫说,并指出运行Rogue VM的机器可以传播病毒 - 或更糟糕的物理网络。例如,他说,某人加载DHTP服务器以提供假IP地址很容易。他注意到,这是有效的拒绝服务攻击。他说,至少你会浪费它试图追踪问题的资源。“它甚至可能是简单的用户错误向生产网络引入服务。”
如何防范非法虚拟机?对于初学者来说,你应该控制谁获得VMware Workstation(因为创建vm需要它)。Wolf指出,IT还可以使用组安全策略来阻止某些可执行文件的运行,比如安装VM player所需的文件。另一种选择:对用户硬盘进行定期审计。他表示:“你需要寻找带有虚拟机的机器,并将它们标记出来,以便IT部门跟进。”
这是用户和它之间的另一个争论的争论,那里,Savvy用户希望在工作中使用VM与他们在家里做同样的工作?还没有,沃尔夫说。“IT部门大多数情况都忽略了它,”沃尔夫说。
如果您确实想要在用户计算机上允许VMS,则VMware的Lab Manager等工具和其他管理工具可以帮助控制和监控这些VM。
10.在预算规划时记住虚拟化安全
“确保为虚拟化安全和管理进行预算,”IDC的Elliott说。您可能不需要在您的安全预算中打破它,拱煤的阿贝内德笔记,但您的安全预算总体上有足够的资金。
另外,在进行虚拟化ROI计算时要注意安全成本。霍夫指出,仅仅通过虚拟化越来越多的服务器,“你可能不会看到安全开支的减少”,因为你需要将一些现有的安全工具应用到你创建的每一个虚拟机上。如果你没有预见到这笔费用,它可能会侵蚀你的投资回报率。
根据Gartner的说法,这是目前常见的错误。根据Gartner副总裁Neil MacDonald在Gartner 2007年10月研讨会/ITxpo上的发言,到2009年,大约90%的虚拟化部署将会有意料之外的成本,如安全成本,影响投资回报率。
了解有关此主题的更多信息
这个故事,“如何ID和修复虚拟服务器的10个安全威胁”最初发布CIO. 。