请记住,当你给一个虚拟机管理员级别的访问权限,则可以访问所有对虚拟机的数据。批判思考什么样的帐户并访问您的工作人员负责的备份任务需要,伯顿集团的Wolf建议。使问题复杂化,一些第三方供应商将实际上给周围的存储和备份问题关于VM安全过时的意见,沃尔夫补充道。“有些厂商甚至没有跟随VMware的最好的VMware整合备份自己的做法,”他说。
拱煤使它成为一个点,以限制其虚拟机的管理员权限总体说,保罗Telle公司,信息安全管理员,并指出他的安全的同事汤姆·卡特和卡特的老板是其中与权利一个非常小的群体。
应用开发商拿最少的访问。“我们的应用程序的人获得一杯羹,或在最小访问......不进入操作系统,”卡特说。这有助于控制虚拟机蔓延,同时提高安全性。
6.观察你如何设置存储
一些企业在SAN上的今天过度配置存储沃尔夫说。这并不是说你整个供应过多的存储;那就是你可能让错误的虚拟机的共享SAN的一部分,他说。
如果你正在使用VMotion,VMware的工具四处移动虚拟机工作时,你要指定在SAN中的一些分区存储。但你可能要作出这样的存储分配更精细的,因为你会在现实世界中,沃尔夫建议。展望未来,终端ID虚拟化技术,可以将其分配存储到只有一个VM-是一种选择值得研究,沃尔夫说。
7.确保良好的隔离跨网段
随着企业去虚拟的,他们不应该忽视安全有关的网络流量风险。但是,这些风险可以在不经意间被忽视,尤其是在IT领导者不能把网络和安全职员表中,在做虚拟化的规划。“很多企业简单地使用性能度量的是如何巩固,”沃尔夫说。(在评估其应用程序服务器协同定位为虚拟机在一台物理计算机,IT团队往往首先关注这些应用程序服务器将如何表现,饿是因为要避免问任何一个物理框承受太多的负担。)“他们是因为对网络流量,他们不应该一起找到这些虚拟机的安全限制忘了,”沃尔夫说。
例如,一些CIO们决定不以允许在DMZ(也称为非军事区,子网络,其容纳外部服务到互联网,等电子商务服务器,加入净和LAN之间的缓冲液中)的任何虚拟化服务器。
如果你有一些虚拟机在DMZ中,您可能希望他们从一些其他系统的物理上独立的网段,说一个关键的Oracle数据库服务器,沃尔夫说。
拱煤炭,IT团队想过从一开始的DMZ,Abbene说。
他们已经部署在内部局域网上的虚拟服务器,但无处面向公众的。“这是一个关键的早期决定,” Abbene说。例如,该公司具有一定的安全FTP服务器和一些服务器在DMZ做轻量级电子商务;它没有计划推出虚拟机在那里,他说。
8.忧开关
如果是交换机不是交换机?“有些虚拟交换机今天表现得像一个集线器:每个端口镜像到虚拟交换机上的所有其他端口,” Burton集团的Wolf说。微软虚拟服务器,特别是在今天,提出了这个问题,Wolf说。VMware的ESX Sserver没有,也没有的Citrix XenServer。“人们听到这个词‘开关’,并认为孤立存在的,它真的被供应商而异,”沃尔夫说。
微软曾表示,开关问题将在微软即将发布的Viridian服务器虚拟化软件产品来解决,沃尔夫补充道。
9.监视器上的台式机和笔记本“流氓”的VM
服务器是不是你唯一的担心。“最大的威胁是在客户端流氓虚拟机,” Burton集团的Wolf说。什么是流氓虚拟机?请记住,沃尔夫说,您的用户可以下载和使用一个免费的程序一样VMware播放,它可以让运行任何VM台式机或笔记本电脑用户创建由VMware工作站,服务器或ESX Server。
许多用户现在喜欢使用虚拟机在台式机或笔记本电脑来工作,或工作与家庭有关的活动的独立的部分上。有些人使用VMware Player来运行机器上的多个操作系统;说使用Linux为基础的操作系统,但对于运行Windows应用程序创建一个VM。(IT团队也还可以使用VM Player来评估虚拟设备的软件产品出货配置为VM)。
“很多时候,这些虚拟机甚至没有在正确的补丁级别,”沃尔夫说。“这些系统得到暴露在网络上。而现在所有这些非托管的操作系统可以漂浮。”
“有很多要添加有风险的,”沃尔夫说,并指出运行虚拟机流氓的机器可以传播病毒,或者更糟糕,你的物理网络。例如,他说,这将是很容易的人加载了一个DHTP服务器给出假的IP地址。这实际上就是服务拒绝攻击,他指出。最起码,你要浪费IT资源,试图追查这个问题,他说。“它甚至有可能是简单的用户错误到生产网络中引入服务。”
如何防止反流氓虚拟机?你应该有控制周围的人谁得到的VMware Workstation,对于初学者(因为它需要创建虚拟机)。它也可以使用一组安全策略来防止某些可执行文件运行,如安装VM的球员,沃尔夫笔记需要。另一种选择:做用户的硬盘驱动器的定期审计。“你想寻找与虚拟机的机器和标志他们跟进,”他说。
这已成为目前用户和IT,在精明的用户希望在工作中同样使用虚拟机之间的另一个争论焦点,因为他们在家里干嘛?还没有,沃尔夫说。“IT部门的大部分都忽略了它,”沃尔夫说。
如果你想允许用户机器的虚拟机,工具,如VMware的实验室经理和其他管理工具可以帮助IT控制和监视这些虚拟机,他指出。
10.在预算规划时别忘了虚拟化安全
“确保分配预算,虚拟化安全和管理,” IDC的埃利奥特说。你可能不需要打破它在你的安全预算,拱煤的Abbene笔记,但您的安全预算总体最好有足够的资金用于它。
此外,当你做虚拟化的投资回报率计算要小心的安保费用。“你可能看不到安全减少支出,”只是通过虚拟化越来越多的服务器,霍夫笔记,因为你需要你的一些现有的安全工具适用于每一个虚拟机所创建。如果你没有预料到这笔开支,可能吃进你的投资回报率。
据Gartner称,这是一个常见的错误现在。到2009年,90%左右的虚拟化部署将有意料之外的成本,比如安全成本,影响投资回报率,根据Gartner公司的2007年10月研讨会/ ITxpo介绍Gartner公司副总裁麦克唐纳。
了解更多关于这个话题
这个故事,“如何ID和修复10在虚拟服务器上的安全威胁”最初发表CIO 。