數(shù)據(jù)中心虛擬化是指利用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池���,主要包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)3種資源�����。數(shù)據(jù)中心虛擬化后不再獨(dú)立地看待某臺(tái)設(shè)備和鏈路�����,而是計(jì)算��、存儲(chǔ)和網(wǎng)絡(luò)的深度融合����,當(dāng)作按需分配的整體資源來(lái)對(duì)待�����。從主機(jī)等計(jì)算資源角度看���,數(shù)據(jù)中心虛擬化包含多合一�、一分多2個(gè)方向,都提供了計(jì)算資源按需調(diào)度的手段���。存儲(chǔ)虛擬化的核心就是實(shí)現(xiàn)物理存儲(chǔ)設(shè)備到單一邏輯資源池的映射��,是為了便于應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)管理����,對(duì)存儲(chǔ)子系統(tǒng)或存儲(chǔ)服務(wù)進(jìn)行的內(nèi)部功能抽象���、隱藏和隔離的行為��。在現(xiàn)代信息技術(shù)中�,虛擬化技術(shù)以其對(duì)資源的高效整合����、提高硬件資源利用率、節(jié)省能源�、節(jié)約投資等優(yōu)點(diǎn)而得到廣泛應(yīng)用。但虛擬化技術(shù)在為用戶帶來(lái)利益的同時(shí)���,也對(duì)用戶的數(shù)據(jù)安全和基礎(chǔ)架構(gòu)提出了新的要求��。如何在安全的范疇使用虛擬化技術(shù)���,成為迫在眉睫需要解決的問(wèn)題�����。因此�,筆者對(duì)虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)進(jìn)行研究�����。 四個(gè)方面說(shuō)明數(shù)據(jù)中心安全風(fēng)險(xiǎn)問(wèn)題: 1�����、高資源利用率帶來(lái)的風(fēng)險(xiǎn)集中 通過(guò)虛擬化技術(shù)�,提高了服務(wù)器的利用效率和靈活性�,也導(dǎo)致服務(wù)器負(fù)載過(guò)重,運(yùn)行性能下降����。虛擬化后多個(gè)應(yīng)用集中在1臺(tái)服務(wù)器上,當(dāng)物理服務(wù)器出現(xiàn)重大硬件故障是更嚴(yán)重的風(fēng)險(xiǎn)集中問(wèn)題�。虛擬化的本質(zhì)是應(yīng)用只與虛擬層交互,而與真正的硬件隔離���,這將導(dǎo)致安全管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn)�����,服務(wù)器變得更加不固定和不穩(wěn)定�����。 2��、網(wǎng)絡(luò)架構(gòu)改變帶來(lái)的安全風(fēng)險(xiǎn) 虛擬化技術(shù)改變了網(wǎng)絡(luò)結(jié)構(gòu)�,引發(fā)新的安全風(fēng)險(xiǎn)。在部署虛擬化技術(shù)之前���,可在防火墻上建立多個(gè)隔離區(qū)�����,對(duì)不同的物理服務(wù)器采用不同的訪問(wèn)控制規(guī)則��,可有效保證攻擊限制在一個(gè)隔離區(qū)內(nèi)�����,在部署虛擬化技術(shù)后�,一臺(tái)虛擬機(jī)失效,可能通過(guò)網(wǎng)絡(luò)將安全問(wèn)題擴(kuò)散到其他虛擬機(jī)���。 3�����、虛擬機(jī)脫離物理安全監(jiān)管的風(fēng)險(xiǎn) 1臺(tái)物理機(jī)上可以創(chuàng)建多個(gè)虛擬機(jī)���,且可以隨時(shí)創(chuàng)建,也可被下載到桌面系統(tǒng)上��,常駐內(nèi)存�,可以脫離物理安全監(jiān)管的范疇。很多安全標(biāo)準(zhǔn)是依賴于物理環(huán)境發(fā)揮作用的��,外部的防火墻和異常行為監(jiān)測(cè)等都需要物理服務(wù)器的網(wǎng)絡(luò)流量��,有時(shí)虛擬化會(huì)繞過(guò)安全措施���。存在異構(gòu)存儲(chǔ)平臺(tái)的無(wú)法統(tǒng)一安全監(jiān)控和無(wú)法有效資源隔離的風(fēng)險(xiǎn)。 4�����、虛擬環(huán)境的安全風(fēng)險(xiǎn) 1)黑客攻擊。 控制了管理層的黑客會(huì)控制物理服務(wù)器上的所有虛擬機(jī)����,而管理程序上運(yùn)行的任何操作系統(tǒng)都很難偵測(cè)到流氓軟件等的威脅。 2)虛擬機(jī)溢出��。 虛擬機(jī)溢出的漏洞會(huì)導(dǎo)致黑客威脅到特定的虛擬機(jī)�����,將黑客攻擊從虛擬服務(wù)器升級(jí)到控制底層的管理程序�����。 3)虛擬機(jī)跳躍�����。 虛擬機(jī)跳躍會(huì)允許攻擊從一個(gè)虛擬機(jī)跳轉(zhuǎn)到同一個(gè)物理硬件上運(yùn)行的其它虛擬服務(wù)器���。 4)補(bǔ)丁安全風(fēng)險(xiǎn)�。 物理服務(wù)器上安裝多個(gè)虛擬機(jī)后���,每個(gè)虛擬服務(wù)器都需要定期進(jìn)行補(bǔ)丁更新����、維護(hù),大量的打補(bǔ)丁工作會(huì)導(dǎo)致不能及時(shí)補(bǔ)漏而產(chǎn)生安全威脅���。安全研究人員在虛擬化軟件發(fā)現(xiàn)了嚴(yán)重的安全漏洞�,即可通過(guò)虛擬機(jī)在主機(jī)上執(zhí)行惡意代碼�����。黑客還可以利用虛擬化技術(shù)隱藏病毒和惡意軟件的蹤跡���。
擴(kuò)展閱讀:OA辦公系統(tǒng)_協(xié)同辦公系統(tǒng)����;免費(fèi)OA協(xié)同辦公系統(tǒng)專題�����;在線OA協(xié)同辦公系統(tǒng)專題���;..是為了便于應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)管理�,對(duì)存儲(chǔ)子系統(tǒng)或存儲(chǔ)服務(wù)進(jìn)行的內(nèi)部功能抽象�����、隱藏和隔離的行為�����。在現(xiàn)代信息技術(shù)中���,虛擬化技術(shù)以其對(duì)資源的高效整合��、提高硬件資源利用率��、節(jié)省能源����、節(jié)約投資等優(yōu)點(diǎn)而得到廣泛應(yīng)用�。但虛擬化技術(shù)在為用戶帶來(lái)利益的同時(shí),也對(duì)用戶的數(shù)據(jù)安全和基礎(chǔ)架構(gòu)提出了新的要求���。如何在安全的范疇..
|
