|
四 采用嵌入式管理程序
服務(wù)器上的虛擬機(jī)管理程序?qū)映洚?dāng)虛擬機(jī)的基礎(chǔ)。VMware近期宣布推出的ESX Server 3i虛擬機(jī)管理程序的獨(dú)特之處在于不包括通用操作系統(tǒng)���。出于安全上的考慮,它采用了精簡設(shè)計(jì)��,只占用32MB空間�。
像戴爾和惠普這些硬件廠商近期表示,它們會在物理服務(wù)器上交付像VMware這種虛擬機(jī)管理程序的嵌入式版本�������;旧��,嵌入式虛擬機(jī)管理程序因?yàn)楸容^小����,所以比較安全。
專家認(rèn)為�����,嵌入式虛擬機(jī)管理程序是將來的一大趨勢。不但從未涉足過這個(gè)領(lǐng)域的一些公司會提供嵌入式虛擬機(jī)管理程序��,大多數(shù)服務(wù)器廠商也會提供����。BIOS軟件領(lǐng)域的市場領(lǐng)導(dǎo)廠商Phoenix Technologies近期宣布: 進(jìn)入虛擬機(jī)管理程序領(lǐng)域,首先會推出名為HyperCore的產(chǎn)品��,即面向桌面和筆記本電腦的虛擬機(jī)管理程序�����。用戶開機(jī)后����,可以使用網(wǎng)絡(luò)瀏覽器和電子郵件等客戶軟件,無須等待啟動Windows(HyperCore將被嵌入到電腦的BIOS中)�。
虛擬機(jī)管理程序市場的競爭和創(chuàng)新對企業(yè)來說是好事。最終可能出現(xiàn)的結(jié)果是��,許多公司會競相提供最精簡�、最智能的虛擬機(jī)管理程序軟件。Hoff說: “無論是Phoenix還是其他廠商�,會出現(xiàn)備受關(guān)注的競爭,這些虛擬機(jī)管理程序都希望成為下一個(gè)優(yōu)秀的操作系統(tǒng)��。”
五 限制訪問虛擬機(jī)權(quán)限
如果賦予了訪問虛擬機(jī)的管理員級別權(quán)限��,也就是賦予了訪問該虛擬機(jī)上所有數(shù)據(jù)的權(quán)限��。伯頓集團(tuán)的Wolf建議�����,要慎重考慮員工需要哪種賬戶和訪問權(quán)限���。更復(fù)雜的問題是,有些第三方廠商針對虛擬機(jī)的存儲和備份安全的建議是過時(shí)的����。Wolf又說: “有些廠商甚至本身就沒有遵守VMware針對VMware Consolidated Backup的最佳實(shí)踐��!
Arch Coal的信息安全管理員Paul Telle說����,總體而言,公司特別注意限制訪問虛擬機(jī)的管理員權(quán)限��。他指出�,公司里只有一小部分人才擁有這樣的權(quán)限�����。
應(yīng)用開發(fā)人員應(yīng)該只有最小的訪問權(quán)限������!拔覀兊膽(yīng)用開發(fā)人員可以訪問共享區(qū)域���,這是最小的訪問權(quán)限�。他們無法訪問操作系統(tǒng)����!彼f����,這有助于控制虛擬機(jī)數(shù)量激增,同時(shí)增強(qiáng)了安全性���。
六 留意存儲資源
有些企業(yè)在SAN上提供過多的存儲資源��,這就可能錯(cuò)誤地讓虛擬機(jī)的共享區(qū)域成為SAN的一部分��。
如果使用VMware移動虛擬機(jī)的工具VMotion�����,會在SAN上分配一些分區(qū)存儲資源�。 但還要細(xì)化存儲資源的分配,就像在物理環(huán)境下那樣�����。展望未來���,N-port ID虛擬化技術(shù)是一個(gè)選擇��,這項(xiàng)技術(shù)可以只為一個(gè)虛擬機(jī)分配存儲資源。
七 隔離網(wǎng)段
企業(yè)走上虛擬化道路��,不該忽視與安全有關(guān)的網(wǎng)絡(luò)流量風(fēng)險(xiǎn)���。但其中一些風(fēng)險(xiǎn)很容易被忽視�����,如果在進(jìn)行虛擬化規(guī)劃時(shí)沒有網(wǎng)絡(luò)和安全人員參與�����,更是如此�����。Wolf說: “許多企業(yè)只是把性能作為合并服務(wù)器的度量標(biāo)準(zhǔn)�����!
舉例說��,有些CIO絕對不允許任何虛擬服務(wù)器出現(xiàn)在“非軍事區(qū)(DMZ)”�。(DMZ是存放外部服務(wù)到互聯(lián)網(wǎng)的子網(wǎng)絡(luò)����,就像電子商務(wù)服務(wù)器一樣,它在互聯(lián)網(wǎng)和局域網(wǎng)之間增加了緩沖區(qū))��。
Wolf說����,要是DMZ里面果真有幾個(gè)虛擬機(jī),就要放在與一部分舊系統(tǒng)(如關(guān)鍵的Oracle數(shù)據(jù)庫服務(wù)器)分開在的獨(dú)立網(wǎng)段上���。
Abbene說�,在Arch Coal公司,IT團(tuán)隊(duì)一開始就考慮到了DMZ.他們把虛擬服務(wù)器部署在內(nèi)部局域網(wǎng)上���,不面向公眾��。Abbene說: “這是一個(gè)關(guān)鍵的決定���������!迸e例說�����,公司在DMZ里面有幾臺安全的FTP服務(wù)器以及幾臺從事簡單電子商務(wù)的服務(wù)器�����,公司不打算把虛擬機(jī)部署到里面����。
上一頁 [1] [2] [3] [4] 下一頁 |
