標(biāo)簽:服務(wù)器,虛擬化,
任何技術(shù)都不能全面地解決問題,服務(wù)器虛擬化技術(shù)同樣如此。另外,我們也應(yīng)該注意到,這些問題都可人為地進(jìn)行避免;所以,在更為先進(jìn)的解決方案出現(xiàn)之前,我們應(yīng)該多采取一些制度規(guī)范化的措施,來避免問題的發(fā)生。服務(wù)器虛擬化,就是在一臺(tái)主機(jī)上同時(shí)運(yùn)行虛擬出多個(gè)操作系統(tǒng)的技術(shù)。近些年來,中小企業(yè)的信息化建設(shè)不斷加強(qiáng),就服務(wù)器來看,單機(jī)系統(tǒng)部署的利用率一般較低,且部署時(shí)間長,無法保證應(yīng)用系統(tǒng)的可靠性。采用服務(wù)器虛擬化技術(shù),可很好地彌補(bǔ)這些不足,因此受到不少中小企業(yè)的歡迎。
但實(shí)行服務(wù)器虛擬化后,企業(yè)將面臨一些來自安全方面的挑戰(zhàn),具體表現(xiàn)如下:
單點(diǎn)故障
在一臺(tái)物理服務(wù)器上部署承載企業(yè)IT應(yīng)用的多個(gè)虛擬服務(wù)器時(shí),要提前做好應(yīng)對物理硬件發(fā)生故障的準(zhǔn)備。為了避免服務(wù)器物理損傷,供電系統(tǒng)、散熱系統(tǒng)的故障以及雷電干擾等一些自然災(zāi)害可能會(huì)給服務(wù)器帶來的不良后果,最好同時(shí)使用另一臺(tái)物理服務(wù)器做鏡像備份和冗余設(shè)置,雖然增加了虛擬化成本,但當(dāng)故障發(fā)生時(shí),備用服務(wù)器能立刻上線運(yùn)行。
如果條件允許,可為每一臺(tái)虛擬機(jī)映射一個(gè)獨(dú)立的物理磁盤分區(qū),以便將其從邏輯上隔離,起到互不干擾的效果,尤其針對大型企業(yè)的服務(wù)器集群。當(dāng)某一塊物理硬件出現(xiàn)故障,其對應(yīng)的應(yīng)用應(yīng)該能及時(shí)從這臺(tái)機(jī)器上動(dòng)態(tài)遷移到別的機(jī)器上。
潛在攻擊威脅及病毒侵害
任一臺(tái)有漏洞的虛擬機(jī)遭攻陷,其它的虛擬機(jī)也會(huì)受到威脅。解決辦法要依賴于管理員,因?yàn)榇蠖喟踩[患就存在于虛擬機(jī)系統(tǒng)補(bǔ)丁的落后。及時(shí)地更新系統(tǒng)補(bǔ)丁和應(yīng)用程序補(bǔ)丁,對所允許運(yùn)行的服務(wù)、開放的端口等等應(yīng)審慎考量,同時(shí),每臺(tái)虛擬機(jī)的安全策略應(yīng)當(dāng)針對不同的作用而有所區(qū)別。保護(hù)物理服務(wù)器的穩(wěn)定安全是安全防范工作的重中之重,畢竟物理服務(wù)器是虛擬服務(wù)器的根本。
網(wǎng)絡(luò)構(gòu)架對安全的防護(hù)也很重要,這個(gè)體現(xiàn)在各虛擬機(jī)的網(wǎng)絡(luò)獨(dú)立性上;通過VLAN和不同的lP網(wǎng)段的方式可以實(shí)現(xiàn)對各虛擬機(jī)的邏輯隔離。另外,管理員還要有明確的監(jiān)控手段,如果不能了解各個(gè)虛擬機(jī)之間聯(lián)系,將面對一個(gè)失控的虛擬服務(wù)器網(wǎng)絡(luò)。
針對病毒侵害,若是采取在每臺(tái)虛擬機(jī)上安裝殺毒軟件或是防木馬工具的措施,恐怕會(huì)給整個(gè)虛擬機(jī)系統(tǒng)造成過重的負(fù)擔(dān),此問題的解決我們得寄希望于虛擬化平臺(tái)整合的殺毒軟件盡早出現(xiàn)。
數(shù)據(jù)安全的保護(hù)
虛擬機(jī)終究是存儲(chǔ)在實(shí)體硬盤中的幾個(gè)文件,一旦有人取得存儲(chǔ)硬盤的權(quán)限,就能將這些文件復(fù)制到其它裝置,泄露出去。因此,每臺(tái)虛擬服務(wù)器,都必需實(shí)施相應(yīng)的備份策略,對配置文件、虛擬機(jī)文件及其中的重要數(shù)據(jù)都要進(jìn)行備份。需要做完善的備份計(jì)劃,包括完整備份、增量備份或差量備份方式。
|