當(dāng)部署一個內(nèi)部基礎(chǔ)設(shè)施即服務(wù)（IaaS）云計算時，應(yīng)當(dāng)對安全性方面有一個廣泛的考慮，即企業(yè)不僅必須考慮滿足安全性最佳實踐的要求，而且同時也應(yīng)考慮符合監(jiān)管的要求。

　　在本文中，我們將具體討論如何控制虛擬機(jī)實例、管理平臺、以及支持IaaS實施的網(wǎng)絡(luò)與存儲基礎(chǔ)設(shè)施。

　　Advertisement

　　虛擬機(jī)實例

　　首先，虛擬機(jī)（VM）的操作系統(tǒng)和應(yīng)用程序必須被鎖定，并使用現(xiàn)有的規(guī)則進(jìn)行正確配置，如來自于互聯(lián)網(wǎng)安全中心（CIS）的配置指導(dǎo)準(zhǔn)則。正確的虛擬機(jī)管理還會產(chǎn)生一些更為健全和一致的配置管理措施。

　　在虛擬機(jī)實例上創(chuàng)建和管理安全配置的關(guān)鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機(jī)而創(chuàng)建一個“黃金鏡像”是非常明智的做法。他應(yīng)當(dāng)為這個模板打好基線并執(zhí)行嚴(yán)格的修訂控制，以確保所有的補(bǔ)丁和其他更新能夠及時地得到應(yīng)用。

　　很多虛擬化平臺為確保虛擬機(jī)的安全性都提供了具體的控制措施；企業(yè)用戶當(dāng)然應(yīng)該充分使用好這些功能。例如，VMware公司的虛擬機(jī)配置設(shè)置會特別地限制虛擬機(jī)與底層管理程序之間的復(fù)制與粘貼操作，這一限制措施可以有助于防止敏感數(shù)據(jù)被復(fù)制到管理程序的內(nèi)存和剪貼板。微軟公司和Citrix System公司的平臺產(chǎn)品可提供類似的限制復(fù)制粘貼功能。其他的平臺還提供了幫助企業(yè)禁用不必要的設(shè)備、設(shè)置日志記錄參數(shù)等功能。

　　此外，當(dāng)確保虛擬機(jī)實例安全性時，請務(wù)必根據(jù)標(biāo)準(zhǔn)數(shù)據(jù)分類原則隔離在不同云計算區(qū)域運行的虛擬機(jī)。由于虛擬機(jī)是共享硬件資源的，所以在相同云計算區(qū)域內(nèi)運行虛擬機(jī)可能會導(dǎo)致數(shù)據(jù)在內(nèi)存中發(fā)生沖突，雖然如今這種沖突發(fā)生的概率極低。

　　管理平臺

　　確保虛擬環(huán)境安全性的第二個關(guān)鍵在于確保管理平臺的安全性，這個管理平臺會與虛擬機(jī)進(jìn)行交互，并配置和監(jiān)控使用中的底層管理程序系統(tǒng)。

　　這些平臺（如VMware的vCenter、Microsoft的系統(tǒng)中心虛擬機(jī)管理器(SCVMM)以及Citrix的XenCenter）都配有他們各自可實施的本地安全控制措施。例如，Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權(quán)限，除非在安裝過程中相關(guān)的角色和權(quán)限被修改。

　　當(dāng)談及管理工具時，確保管理數(shù)據(jù)庫的安全性是最為重要的，但是很多產(chǎn)品的默認(rèn)設(shè)置并不具備內(nèi)在的安全性。最重要的是，必須在管理平臺內(nèi)為不同的運營角色分配角色和權(quán)限。雖然很多企業(yè)都擁有一支在IaaS云計算內(nèi)管理虛擬機(jī)運行的虛擬化團(tuán)隊，但是在管理控制臺內(nèi)不授予過多的權(quán)限是其中的關(guān)鍵。我建議為存儲、網(wǎng)絡(luò)、系統(tǒng)管理及其它團(tuán)隊授予相關(guān)權(quán)限，就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中做的一樣。

　　對于諸如vCloud Director和OpenStack這樣的云計算管理工具，應(yīng)當(dāng)仔細(xì)分配好角色和權(quán)限，同時必須包括云計算虛擬機(jī)的不同最終用戶。例如，開發(fā)團(tuán)隊?wèi)?yīng)當(dāng)擁有用于他們工作任務(wù)的虛擬機(jī)，這些虛擬機(jī)應(yīng)當(dāng)與財務(wù)團(tuán)隊使用的虛擬機(jī)隔離開。

　　所有的管理工具都應(yīng)被隔離在一個單獨的網(wǎng)段中，而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統(tǒng)是一個好主意，在這樣的代理平臺上你可以建立強(qiáng)大的認(rèn)證和集中授權(quán)用戶監(jiān)控。

　　網(wǎng)絡(luò)和存儲基礎(chǔ)設(shè)施

　　雖然確保推進(jìn)IaaS云計算的網(wǎng)絡(luò)和存儲的安全性是一項涉及范圍頗廣的任務(wù)，但還是有著一些應(yīng)當(dāng)實施的通用最佳實踐。

　　對于存儲環(huán)境而言，請謹(jǐn)記，如同其他任何的敏感文件一樣，必須保護(hù)好虛擬機(jī)。某些文件存儲有效的內(nèi)存或內(nèi)存快照（可能是最敏感的，如可能包含用戶憑據(jù)和其他敏感數(shù)據(jù)），而其他的文件代表系統(tǒng)的完整硬盤。在這兩種情況下，文件中都包含了敏感數(shù)據(jù)。在存儲環(huán)境中使用單獨的邏輯單元號(LUNs)和區(qū)/域可以隔離不同敏感性的系統(tǒng)，這是至關(guān)重要的。如果存儲區(qū)域網(wǎng)絡(luò)（SAN）級加密功能可用，請考慮該功能是否適用。

　　在網(wǎng)絡(luò)側(cè)，請務(wù)必確保單個網(wǎng)段是隔離的，并在虛擬本地局域網(wǎng)（VLAN）和訪問控制的控制下。如果在虛擬環(huán)境下細(xì)粒度安全控制是必須的，那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測設(shè)備。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設(shè)施，而傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商的其他產(chǎn)品也可用。此外，還應(yīng)考慮敏感虛擬機(jī)數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段，如vMotion網(wǎng)絡(luò)。在這個VMware環(huán)境中，明文內(nèi)存數(shù)據(jù)將從一個管理程序傳輸至另一個，而使敏感數(shù)據(jù)易于泄漏。

　　結(jié)論

　　當(dāng)談及確保虛擬環(huán)境或IaaS私有云計算安全性時，上述三個方面的控制措施只是冰山一角。如需了解更多信息，VMware有一系列深入強(qiáng)化的實用指南以用于評估具體的控制措施，而OpenStack在其網(wǎng)站上提供了一個安全性指南。通過遵循一些基本的做法，企業(yè)可以構(gòu)建他們自己的內(nèi)部IaaS云計算，并確保它們能夠滿足他們自己的標(biāo)準(zhǔn)和所有其他必要的行業(yè)要求。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：內(nèi)部IaaS部署：管理虛擬機(jī)安全

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839511204.html