虚拟化环境下达成安全分区
发布时间:2022-04-22 13:41:49 所属栏目:云计算 来源:互联网
导读:虚拟化和云计算都是时下最热门的话题,后者需要依赖于前者。我们可以使用客户端和服务器虚拟化技术来搭建虚拟化环境,以此减小数据中心和客户端规模,也可以整合客户端和服务器来降低能耗需求,还可以从多个物理机器将服务器移至虚拟化环境上以解决机架空间
|
虚拟化和云计算都是时下最热门的话题,后者需要依赖于前者。我们可以使用客户端和服务器虚拟化技术来搭建虚拟化环境,以此减小数据中心和客户端规模,也可以整合客户端和服务器来降低能耗需求,还可以从多个物理机器将服务器移至虚拟化环境上以解决机架空间问题。虚拟化是成功的,因为虚拟化帮助我们解决了很多问题。 然而,还有一个方面是虚拟化没有解决的,那就是安全问题。虚拟化技术本身并不是安全技术。事实上,虚拟化的安全问题能够反映出物理环境的安全问题。安全问题在虚拟化环境中变得越来越重要,因为安全问题将对虚拟化环境造成很严重影响。 正因如此,我们需要认真考虑虚拟化环境核心安全概念以及相关部署问题。在所有网络(尤其是虚拟客户端和服务器网络)中都适用的一个重要概念就是:安全分区。安全区集合了承担着共同安全风险或者安全威胁的资源,有几种方法可以归纳安全区的特点: 相同安全区的所有成员都承担着共同的安全风险 相同安全区的所有成员对于企业有着相似的价值,高价值资产不可能与低价值资产位于同一安全区 面向互联网的主机通常与面向非互联网的主机位于不同安全区 一个安全区受到破坏并不会影响其他安全区,受破坏的安全区应该是隔离的,不会对其他区造成任何影响 安全区必须通过物理或者逻辑方式进行分割,必须使用访问控制设备或者软件来控制用户对不同安全区的访问权。可以使用防火墙来创建物理分割,或者使用先进软件方式(如Ipsec)来创建虚拟网络分割。 在虚拟化环境和物理环境中都应该进行安全分区和安全分割,例如可以将安全区按照以下三种简单分区进行分割: 互联网边缘安全区 客户端系统安全区 网络服务安全区 显示的是一个简单的服务器整合,主要侧重于虚拟化项目。这个结构中有一个虚拟服务器,该虚拟服务器控制着防火墙、域控制器、邮件服务器以及文件服务器。这些虚拟机都连接到相同的物理网络中(就像客户端系统一样)。 面向互联网的虚拟机与网络服务虚拟机位于同一个虚拟服务器上,互联网防火墙虚拟机出现问题时,将会对网络服务机器造成负面影响,而网络服务器属于不同安全区。 客户端系统与网络服务虚拟机位于相同的物理网络,客户端系统出现问题时,将会对虚拟化环境造成不良影响。客户端系统应该与网络服务虚拟机进行分割,放置在不同的安全区。 这是一个简单服务器整合项目的常见设计,从安全观点来看,这是个很糟糕的设计。让我们看看可以怎样改善这种状况: 第二台虚拟机仅控制着属于网络服务安全区的虚拟机,不过,客户端系统仍然与网络服务虚拟机位于相同物理网络中。这不是一个***配置方式,因为如果客户端系统安全区发生故障,这些安全区之间没有访问控制或者安全设备可以限制故障造成的潜在影响。 虽然这种虚拟化环境的安全设计优于***种设计,不过还是有很多地方可以进行改善的,以创造更安全的配置。 (编辑:厦门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐