服务器虚拟化技术是构成未来新一代企业数据中心的重要元素之一,IT硬件性能效能的突飞猛进,使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而,在整个环境向虚拟化环境移转的过程中,有许多安全上的问题也会随之产生,稍有不慎就会造成危害,而影响到日常的营运。
许多人认为“虚拟化是物理环境的应用延伸,对于虚拟机的安全防护只需要采用现有的做法管理即可……”,这个观点从某些方面来说是正确的,但实际上物理机和物理机之间仍有着诸多差异之处,如果未能及时正视这些差异,就有可能因此产生安全问题。
网络架构因虚拟化而产生质变
网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前,企业可以在前端的防火墙设备上订立出多个非军事区(Demilitarized Zone,DMZ),针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。
虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMwareESX/ESXi,微软的Hyper-V),或者经由“虚拟──实体”网卡之间的桥接(如VMware Server/Workstation,微软的Virtual Server/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,Check Point台湾区技术顾问陈建宏就表示,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。
要解决上述问题的最简单做法,就是在每一台虚拟机器上都安装防毒软件,以及其它种类的资安产品。不过如此一来,却又可能衍生出一些管理上的疑虑,例如应用程序与资安产品之间的兼容性问题即同样可能在虚拟机器的环境下发生。
此外,虚拟机器安装资安产品后的运作效能,也值得企业加以注意,过去在一台实体主机上安装防毒软件,几十MB的内存使用量不会是太大的问题,但是在虚拟化的环境下,多台虚拟机器累积下来,就可能占用到相当可观的硬件资源,因此需要寻求其它做法加以因应解决,才能做好虚拟平台上的安全控管。
服务器虚拟化之后,所有的虚拟机器的网络卡,预设会连接在同一台虚拟交换器上运作,无形之间产生安全问题。
| 企业数据中心每周热点文章 | |
| 绿色数据中心第一步:看清耗电真相 | 微软已经抢下VMware半数市场占有率? |
| 别让虚拟化给整“虚”了 | 数据中心选址的艺术 |
| 不畏金融危机 雅虎投资一亿建数据中心 | 受经济危机影响 Gartne发布降低IT开支预测报告 |
| 图解整体机房建设(多图) | 金融海啸 CIO如保破冰IT外包困局 |
| 避免冗余供电引起的数据中心故障(多图) | 秋冬季节 数据中心严防静电伤害 |
