|
内部IaaS部署:管理虚拟机安全
在本文中,我们将具体讨论如何控制虚拟机实例、管理平台、以及支持IaaS实施的网络与存储基础设施。
对于诸如vCloud Director和OpenStack这样的云计算管理工具,应当仔细分配好角色和权限,同时必须包括云计算虚拟机的不同最终用户。例如,开发团队应当拥有用于他们工作任务的虚拟机,这些虚拟机应当与财务团队使用的虚拟机隔离开。 所有的管理工具都应被隔离在一个单独的网段中,而要求通过一个“跳箱”或诸如HyTrust这样的专用安全代理平台访问这些系统是一个好主意,在这样的代理平台上你可以建立强大的认证和集中授权用户监控。 网络和存储基础设施 虽然确保推进IaaS云计算的网络和存储的安全性是一项涉及范围颇广的任务,但还是有着一些应当实施的通用最佳实践。 对于存储环境而言,请谨记,如同其他任何的敏感文件一样,必须保护好虚拟机。某些文件存储有效的内存或内存快照(可能是最敏感的,如可能包含用户凭据和其他敏感数据),而其他的文件代表系统的完整硬盘。在这两种情况下,文件中都包含了敏感数据。在存储环境中使用单独的逻辑单元号(LUNs)和区/域可以隔离不同敏感性的系统,这是至关重要的。如果存储区域网络(SAN)级加密功能可用,请考虑该功能是否适用。 在网络侧,请务必确保单个网段是隔离的,并在虚拟本地局域网(VLAN)和访问控制的控制下。如果在虚拟环境下细粒度安全控制是必须的,那么企业可以考虑使用虚拟防火墙和虚拟入侵检测设备。VMware公司的vCloud平台本身已集成了其vShield虚拟安全设施,而传统网络供应商的其他产品也可用。此外,还应考虑敏感虚拟机数据可能以明文传输的网段,如vMotion网络。在这个VMware环境中,明文内存数据将从一个管理程序传输至另一个,而使敏感数据易于泄漏。 结论 当谈及确保虚拟环境或IaaS私有云计算安全性时,上述三个方面的控制措施只是冰山一角。如需了解更多信息,VMware有一系列深入强化的实用指南以用于评估具体的控制措施,而OpenStack在其网站上提供了一个安全性指南。通过遵循一些基本的做法,企业可以构建他们自己的内部IaaS云计算,并确保它们能够满足他们自己的标准和所有其他必要的行业要求。
责编:王雅京
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
推荐圈子
|
|