内部IaaS部署：如何管理虚拟机的安全性

在本文中，我们将具体讨论如何控制虚拟机实例、管理平台、以及支持IaaS实施的网络与存储基础设施。

虚拟机实例

首先，虚拟机(VM)的操作系统和应用程序必须是被锁定的，同时必须使用现有的规则进行正确的配置，如来自于互联网安全中心(CIS)的指导准则。正确的虚拟机管理还可能会产生更为健全和一致的配置管理措施。

在虚拟机实例上创建和管理安全配置的关键在于使用模板。管理员为在云计算中初始化所有的虚拟机而创建一个“黄金镜像”是非常明智的做法。应当为这个模板打好基线并执行严格的修订控制措施，以确保所有的补丁和其他更新都能够及时地得到应用。

很多虚拟化平台为确保虚拟机的安全性都提供了特定的控制措施;企业用户当然应该充分使用好这些功能。例如，VMware公司的虚拟机配置设置可特别地限制虚拟机与底层管理程序之间的复制和粘贴操作，这一措施可有助于防止敏感数据被复制到管理程序的内存和剪贴板。微软公司和Citrix System公司的平台产品可提供类似的防复制粘贴的限制措施。其他的平台功能可以帮助企业禁用不必要的设备、设置日志记录参数等等。

此外，当确保虚拟机实例安全性时，请务必根据标准数据分类原则隔离在不同云计算区域运行的虚拟机。由于虚拟机是共享硬件资源的，所以在相同云计算区域内运行虚拟机可能会导致数据在内存中发生错误，虽然如今这种错误发生的概率是极低的。

管理平台

确保虚拟环境安全性的第二个关键在于确保管理平台的安全性，这个管理平台会与虚拟机交互、配置和监控使用中的底层管理程序系统。

这些平台(如VMware vCenter、Microsoft系统中心虚拟机管理器(SCVMM)以及Citrix XenCenter)都配有他们自己可实施的本地安全控制措施。例如，Vcenter常被安装在Windows并继承本地管理员角色而具有系统权限，除非在安装过程中相关角色和权限被修改。

当谈及管理工具时，确保管理数据库的安全性是最为重要的，但是很多产品的默认设置并不具备内在的安全性。最重要的是，必须在管理平台内为不同的运营角色分配角色和权限。虽然很多企业都拥有一支在IaaS云计算内管理虚拟机运行的虚拟化运营团队，但是在管理控制台内不授予过多的权限是其中的关键原则。我建议分别为存储、网络、系统管理及其它团队授予不同的相关权限，就如同在传统数据中心环境中一样。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友