虚拟化数据中心的安全设计探讨
数据中心虚拟化安全
数据中心虚拟化安全数据中心虚拟化技术是近年来不可避免的趋势,它不仅提高了资源利用率,还降低了IT成本。
然而,数据中心虚拟化也带来了一系列安全挑战。
本文将探讨数据中心虚拟化安全的重要性,并提供一些有效的防护措施。
1. 背景介绍数据中心虚拟化是指将多个物理服务器整合为一个虚拟化平台,通过软件技术将物理资源转化为虚拟资源。
这种技术可以大幅度提高服务器资源的利用率,并简化了管理和维护工作。
然而,由于虚拟化环境的复杂性,安全性成为了一个重要问题。
2. 数据中心虚拟化安全威胁2.1. 虚拟机逃逸虚拟机逃逸是指攻击者通过虚拟机中的漏洞或其他手段,越过虚拟层,获取宿主机或其他虚拟机中的敏感信息。
这种攻击方式可能导致整个数据中心环境的被入侵。
2.2. 资源隔离缺陷因为虚拟化技术的共享性,不同虚拟机之间的资源是通过宿主机分配和管理的。
如果资源分配不合理或者隔离不严密,一个虚拟机的安全漏洞可能对其他虚拟机造成影响。
2.3. 数据泄露和隐私问题由于虚拟化环境中的虚拟机共享同一物理主机的存储资源,如果不加以安全控制,虚拟机上的数据可能会被其他虚拟机或攻击者获取,从而造成敏感信息泄露和隐私问题。
3. 数据中心虚拟化安全措施3.1. 定期更新和修补数据中心虚拟化平台的安全性高度依赖于底层软件的安全性。
因此,定期更新和修补虚拟化软件和相关组件是确保数据中心安全的基本措施。
3.2. 强化访问控制严格的访问控制策略可以限制虚拟机与虚拟机、虚拟机与宿主机之间的通信,减少攻击面。
此外,为虚拟机设置合理的权限和访问策略也是保障数据中心安全的关键。
3.3. 引入安全虚拟化解决方案安全虚拟化解决方案是一种在虚拟化环境中提供安全功能的软件工具。
比如,安全虚拟机管理软件可以实现虚拟机的隔离和流量监控,阻止恶意行为。
引入这些解决方案可以增强数据中心虚拟化的安全性。
3.4. 加密和令牌化技术加密和令牌化技术可以对虚拟机中的敏感数据进行加密,保护数据的机密性和完整性。
虚拟化数据中心的安全设计
案例二
总结词
加密存储、访问控制、数据备份
详细描述
在虚拟化数据中心中,数据泄露事件需要从多个方面进 行应对。首先,应采用加密技术对敏感数据进行加密存 储,防止被未经授权的人员获取。其次,应建立完善的 访问控制机制,限制用户对敏感数据的访问权限。最后 ,应定期备份数据,以防止数据丢失和损坏。
案例三
总结词
02
虚拟化数据中心的安全风险
数据安全风险
1 2 3
数据泄露风险
虚拟化数据中心可能存在数据泄露的风险,因 为数据在传输和存储过程中可能被非法获取或 窃取。
数据丢失风险
由于虚拟化技术的特点,数据可能被错误地删 除或丢失,因此需要采取措施来备份和恢复数 据。
数据篡改风险
虚拟化数据中心可能面临数据被篡改的风险, 这可能导致数据的不完整或损坏,影响业务正 常运行。
总结词
防御网络攻击、保护数据安全
详细描述
针对虚拟化数据中心的网络攻击防御策略应结合虚拟 机的特点,采用多种手段进行防御。首先,应部署网 络安全设备,如防火墙、入侵检测系统等,对进出虚 拟机的网络流量进行监控和过滤。其次,采用加密技 术保护虚拟机的通信数据,防止数据泄露和被篡改。 此外,制定严格的网络安全管理制度,加强用户身份 认证和访问控制,防止非法访问和恶意攻击。
区块链技术也将成为未来虚拟化数据中心安全设 计的重要方向之一,可以提供更加安全、可靠和 透明的数据管理和交易验证方式。
未来安全设计需要更加注重智能化和自动化技术 的应用,如利用人工智能和机器学习等技术进行 威胁检测和入侵防御等。
另外,随着物联网和工业互联网的发展,虚拟化 数据中心的安全设计也需要考虑更加多元化的应 用场景和安全威胁,如设备安全、网络安全等。
虚拟化数据中心的安全问题分析
【K e y w o r d s】 v i r t u a l i z a U o n ; s e c u r i y t p r o b l e m ; om c p u t e r n e wo t k r ; s t o a r g e v i r t u l i z a t i o n
h a s b e e n c o n s t r u c t e d , w h i c h u t i l i z e s v i r t u a l i z a t i o nt e c h n o l o g yt o p r o v i d e s e r v i c e s , a n dt h i s h a s b e c o m e a n e w d e v e l o p me n t d i r e c t i o n o f I T e n t e r p d s e . T h e v i r t u a l i z a U o n d a t a c e n t e r r e l a t i v e o t he t t r a d i t i o n a l d a a t c e n t e r , p u t f o r wa r d n e w c h a l l e n g e s i n t e r ms f o s e c u r i t y . T h i s p a p e r a n a l y z e d s e c u r i t y p r o b l e m i n
1 引言
虚拟 化技 术早 在上 世纪 6 0年代 由 I B M 提 出 。随着 互 联 网发 展 和 云计 算 的概 念提 出 , 在过 去 几 年 内 , 虚拟 化 普 及 的速 度 迅 速 提 高 。据 E MC 公 司 C E O J o e T u c c i 称. 大部 分 V1 V 1 wa l ' c客 户 已经计 划 在未来 3年 内实 现其
虚拟化数据中心的安全设计
虚拟化数据中心的安全设计本文针对虚拟化数据中心的安全需求,提出一种虚拟化数据中心的安全设计方案。
分析了虚拟化后数据中心面临的安全问题,从通道隔离、接入控制和网络安全策略可随虚拟机迁移3个方面建立了数据中心虚拟化后的三维安全模型,将两层交换机用多条链路进行捆绑连接,实现基于物理端口的负载均衡和冗余备份,并利用交换机和防火墙来实现访问控制。
分析结果表明,该设计实现了数据中心虚拟化的安全保护。
引言数据中心虚拟化是指利用虚拟化技术构建基础设施池,主要包括计算、存储和网络3种资源。
数据中心虚拟化后不再独立地看待某台设备和链路,而是计算、存储和网络的深度融合,当作按需分配的整体资源来对待。
从主机等计算资源角度看,数据中心虚拟化包含多合一、一分多2个方向,都提供了计算资源按需调度的手段。
存储虚拟化的核心就是实现物理存储设备到单一逻辑资源池的映射,是为了便于应用和服务进行数据管理,对存储子系统或存储服务进行的内部功能抽象、隐藏和隔离的行为。
在现代信息技术中,虚拟化技术以其对资源的高效整合、提高硬件资源利用率、节省能源、节约投资等优点而得到广泛应用。
但虚拟化技术在为用户带来利益的同时,也对用户的数据安全和基础架构提出了新的要求。
如何在安全的范畴使用虚拟化技术,成为迫在眉睫需要解决的问题。
因此,笔者对虚拟化数据中心的安全设计进行研究。
1 虚拟化后数据中心面临的安全问题1)服务器利用率和端口流量大幅提升,对数据中心网络承载性能提出巨大挑战,对网络可靠性要求更高;2)各种应用部署在同一台服务器上,网络流量在同一台服务器上叠加,使得流量模型更加复杂;3)虚拟机的部署和迁移,使安全策略的部署更复杂,需要一个动态安全机制对数据中心进行防护;4)在应用虚拟存储技术后,面对异构存储设备的特点,存在如何统一监管的问题;虚拟化后不同密级信息混合存储在同一个物理介质上,将造成越权访问等问题。
2 数据中心安全风险分析2.1高资源利用率带来的风险集中通过虚拟化技术,提高了服务器的利用效率和灵活性,也导致服务器负载过重,运行性能下降。
云计算数据中心的网络安全技术探讨
云计算数据中心的网络安全技术探讨随着人们对于互联网的依赖越来越深入,在线业务的数量和规模也随之飞速增长。
这些业务和应用所依赖的数据中心,扮演着信息通信的重要枢纽角色。
然而,云计算数据中心网络安全问题日益突出,泄露、破坏、篡改等安全威胁时有发生。
因此,在云计算数据中心的网络安全技术探讨,成为了很多安全专家的关注焦点。
一、虚拟化带来的安全隐患虚拟化技术的广泛应用,极大地提高了数据中心的灵活性、资源利用率和运营效率。
但是,虚拟化技术本身也带来了新的安全隐患。
主要分为以下三个方面:1、虚拟化资源共享导致的隐患虚拟化的整个系统中,资源池是被共享的,其中包括内存、CPU、网络和磁盘等系统资源。
当一些攻击越过了虚拟机的安全防线,就很有可能对整个虚拟化主机产生影响,由此导致网络流量混杂或信息泄露等问题。
2、虚拟机动态漂移带来的威胁虚拟机的动态漂移特性,可以将虚拟机从一个物理主机迁移到另一个物理主机上,以达到负载均衡的目的。
然而,这种虚拟机漂移,可能也会导致数据的泄露或篡改,特别是在迁移过程中口令明文传输的情况下,风险更大。
3、虚拟化平台主机攻击面增大由于虚拟化平台对于服务器资源的管理和调度,使得它本身成为了入侵攻击的目标。
攻击者在攻击一台虚拟机时,有可能越过了这一层安全防线,从而产生了更严重的攻击。
二、网络虚拟化的安全架构针对虚拟化带来的安全隐患,网络虚拟化的安全架构秉承了安全、可靠、可扩展等理念,主要包括以下两个方面:1、虚拟网络安全架构设计在虚拟网络安全架构设计上,需要考虑底层亦即物理网络和虚拟网络之间的隔离性,以及多租户之间的隔离性。
隔离的方法主要有三种:基于物理硬件隔离、基于虚拟交换机隔离、基于服务质量隔离。
同时,还需要对于虚拟机上进行VLAN的划分,以达到虚拟机间的安全隔离,降低安全威胁的扩散。
互联网常用的一个网络流量包,是一种能够窃取用户信息和许多其他有害动作的嵌套式文件。
因此,智能网络还需要加入反病毒、反钓鱼、反网络钓鱼等等功能,提供网络保护的防范办法。
虚拟化数据中心的网络安全设计
虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。
为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN扩展,安全策略上移,网络安全策略跟随虚拟机动态迁移等。
虚拟化数据中心的网络安全设计数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。
虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。
数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图1所示),都提供了计算资源被按需调配的手段。
由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。
前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。
图1 计算虚拟化的两种表现形式虚拟化后数据中心面临的安全问题传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。
而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。
图2 数据中心虚拟化安全模型虚拟化数据中心对网络安全提出三点需求:1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力;2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移;3、网络安全策略可跟随虚拟机自动迁移。
在上述三个需求中,第一个需求是对现有网络安全策略的增强。
数据中心虚拟化技术的安全性分析
数据中心虚拟化技术的安全性分析随着互联网和大数据时代的到来,数据中心的规模和复杂度越来越大,而数据中心虚拟化技术作为提高数据中心效率和降低成本的重要方法,也越来越受到企业的关注和采用。
然而,数据中心虚拟化技术的安全性问题也引起了各方的关注和担忧。
本文将围绕数据中心虚拟化技术的安全性问题展开分析和探讨。
一、数据中心虚拟化技术的基本原理数据中心虚拟化技术是一种将物理资源抽象化为虚拟资源的技术,通过软件技术将一台物理计算机划分为多个虚拟计算机,并在其中运行多个独立的操作系统和应用程序。
这些虚拟计算机共享同一组物理资源,如CPU、内存、存储等。
虚拟化技术使得数据中心的资源利用率得到了大幅提升,同时也降低了设备采购和维护成本。
二、数据中心虚拟化技术的安全性问题虽然数据中心虚拟化技术带来了许多便利和优势,但是数据中心虚拟化技术的安全性问题也逐渐暴露出来。
具体表现在以下几个方面:1.虚拟化软件的安全性:虚拟化软件作为虚拟化技术的核心组件,必须保证其安全性。
虚拟化软件和操作系统的漏洞可能会被攻击者利用,破坏虚拟化环境的完整性和保密性。
2.虚拟机与宿主机的隔离性:虚拟机与宿主机是通过软件界面进行通信和交互的,因此必须保证它们之间的隔离性。
如果虚拟机和宿主机之间存在漏洞或者未经授权的访问,就有可能导致数据中心遭到攻击和破坏。
3.虚拟机之间的隔离性:多个虚拟机共享同一个物理服务器,必须保证它们之间的隔离性,防止一台虚拟机被入侵后对其他虚拟机造成影响。
4.虚拟机的迁移和备份:虚拟化技术支持虚拟机迁移和备份,但是这些操作也会为攻击者提供机会。
如果虚拟机在迁移或备份期间遭到攻击或数据泄露,就会对数据中心的安全性造成威胁。
三、数据中心虚拟化技术的安全防护措施针对数据中心虚拟化技术的安全问题,可以采取以下防护措施:1.加强虚拟化软件和操作系统的安全性防护,保持其更新和升级,及时修复漏洞。
2.实施虚拟机与宿主机的安全隔离措施,禁止虚拟机与宿主机之间的直接通信,控制虚拟机访问宿主机的权限。
基于云计算技术的虚拟化数据中心安全研究
基于云计算技术的虚拟化数据中心安全研究随着云计算技术的发展,虚拟化数据中心成为了大多数企业和机构的首选解决方案。
虚拟化数据中心可以极大地提高资源利用率和灵活性,同时降低硬件成本和管理成本。
然而,与此同时,虚拟化数据中心的安全也成为了一个极为重要的问题。
虚拟化数据中心安全的挑战虚拟化数据中心安全面临的主要挑战包括以下几个方面:1.虚拟化软件漏洞。
虚拟化软件作为整个虚拟化系统的核心,一旦存在漏洞,攻击者就有可能通过漏洞入侵整个虚拟化环境。
2.虚拟机内部攻击。
在虚拟化环境中,每个虚拟机都是一个独立的操作系统环境,虚拟机之间的隔离性比较差,一旦某个虚拟机被攻击,攻击者就有可能进一步攻击其他虚拟机。
3.虚拟机转移攻击。
虚拟化环境中,虚拟机的迁移是非常常见的,而虚拟机迁移的过程中,数据可能会被窃取或篡改,给整个虚拟化环境的安全带来威胁。
4.物理主机攻击。
攻击者可以通过攻击物理主机入手,从而攻击整个虚拟化环境。
基于云计算技术的虚拟化数据中心安全解决方案针对上述虚拟化数据中心安全的挑战,我们可以采取以下措施来提升虚拟化数据中心的安全性:1.实施虚拟化软件的安全检测和漏洞修补。
虚拟化软件的漏洞修补是保障整个虚拟化环境安全的基础。
企业可以通过采用自动化的漏洞扫描和修复工具、实施漏洞管理等方式,保障虚拟化软件的安全性。
2.实施虚拟机隔离策略。
虚拟机之间的隔离性配置非常关键,企业可以通过实施虚拟机隔离策略,如采用虚拟网络等工具,从而降低虚拟机内部攻击的风险。
3.加强虚拟机转移安全管理。
为了保障虚拟机转移过程中的数据安全,企业可以采用加密传输、数字签名等技术,从而保证虚拟机转移时数据的完整性和机密性。
4.实施物理主机防护策略。
由于物理主机被攻击将会影响整个虚拟化环境的安全性,因此,企业应该实施物理主机的防护策略,如网络防火墙、入侵检测等工具,保障整个虚拟化环境的安全。
总结虽然虚拟化数据中心的安全是一项极为重要的任务,但是我们可以通过实施上述安全措施来降低安全风险,提高虚拟化数据中心的安全性。
基于云计算的虚拟化数据中心网络安全技术研究
基于云计算的虚拟化数据中心网络安全技术研究随着云计算技术的快速发展和广泛应用,虚拟化数据中心成为了企业的重要基础设施。
然而,云计算环境中虚拟化数据中心网络的安全性问题一直备受关注。
本文将围绕基于云计算的虚拟化数据中心网络安全技术展开研究,探讨如何保障云计算环境中虚拟化数据中心的网络安全。
首先,我们要认识到虚拟化数据中心网络安全的挑战。
与传统的物理网络环境相比,虚拟化数据中心网络存在着更多的风险和威胁。
其中最主要的挑战是虚拟机的隔离性。
在云计算环境中,多个虚拟机共享同一物理服务器,如果一个虚拟机被攻击或者感染了恶意软件,将会对其他虚拟机产生影响。
因此,确保虚拟机之间的隔离性变得尤为重要。
为了解决这一挑战,可以采取一系列的安全措施。
首先,需要建立有效的虚拟机隔离机制。
这可以通过使用虚拟化管理平台提供的功能来实现,例如网络隔离和虚拟局域网(VLAN)的使用。
其次,可以采用网络安全策略,例如访问控制列表(ACL)和虚拟防火墙,来限制虚拟机之间的通信和访问。
此外,数据中心网络中的虚拟机迁移也是一个重要的安全问题。
虚拟机迁移是指将虚拟机从一个物理服务器迁移到另一个物理服务器,以实现负载均衡、故障恢复等目的。
然而,在迁移过程中,可能会面临敏感数据的泄露和未经授权的访问等安全风险。
因此,需要确保在虚拟机迁移过程中数据的机密性、完整性和可用性。
为了保护虚拟机迁移的安全,可以使用加密和身份验证等技术来确保数据的安全传输。
另外,可以采用虚拟化管理平台提供的审计和监控功能来实时监控虚拟机迁移过程,以发现任何异常行为和安全漏洞。
除了虚拟机的隔离和迁移安全,还需要关注虚拟化数据中心网络中的其他安全问题。
其中之一是虚拟机漏洞的利用。
由于虚拟机部署和管理的复杂性,虚拟机漏洞可能会被黑客利用,从而导致整个虚拟化数据中心网络的安全风险。
因此,定期更新和修补虚拟机操作系统和应用程序以及及时发布安全补丁是非常重要的。
此外,虚拟化数据中心网络中的身份认证和访问控制也是关键问题。
虚拟化数据中心的网络安全设计
虚拟化数据中心的网络安全设计在当今数字化的时代,企业对于数据处理和存储的需求日益增长,虚拟化数据中心应运而生。
虚拟化技术通过整合资源、提高效率和降低成本,为企业带来了显著的优势。
然而,与此同时,网络安全问题也日益凸显。
一个精心设计的网络安全架构对于保护虚拟化数据中心的机密性、完整性和可用性至关重要。
虚拟化数据中心是将物理服务器的资源通过虚拟化技术进行分割和分配,形成多个相互隔离的虚拟机(VM)。
这些虚拟机共享物理服务器的硬件资源,但在逻辑上相互独立运行。
这种架构使得资源的利用更加高效灵活,但也带来了新的安全挑战。
首先,虚拟机之间的通信可能会绕过传统的网络边界防护设备,从而增加了数据泄露的风险。
其次,虚拟机的动态迁移可能导致安全策略的不一致性,因为在迁移过程中,安全配置可能无法及时跟随。
此外,虚拟化环境中的管理平台也成为了攻击者的潜在目标,如果管理平台被攻破,整个虚拟化数据中心都可能面临巨大的威胁。
为了应对这些挑战,我们需要从多个方面来设计虚拟化数据中心的网络安全架构。
在访问控制方面,应采用基于角色的访问控制(RBAC)策略,为不同的用户和角色分配适当的权限。
例如,管理员应具有最高权限,可以对整个虚拟化数据中心进行配置和管理;普通用户则只能访问其被授权的虚拟机和资源。
同时,应加强对用户身份的认证和授权,采用多因素认证(MFA)技术,如密码、指纹、令牌等,提高认证的安全性。
在网络隔离方面,可以通过虚拟局域网(VLAN)、虚拟专用网络(VPN)等技术将不同的虚拟机和业务系统进行隔离。
例如,将重要的业务系统和敏感数据所在的虚拟机划分到独立的 VLAN 中,限制其与其他网络区域的通信。
此外,还可以使用防火墙和入侵检测/预防系统(IDS/IPS)来进一步加强网络边界的防护,阻止未经授权的访问和攻击。
对于虚拟机的安全管理,应确保每台虚拟机都安装了最新的操作系统补丁和安全软件,如防病毒软件、防火墙等。
同时,要对虚拟机的配置进行定期审计,检查是否存在安全漏洞和违规配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟化数据中心的安全设计探讨
摘要随着信息技术的快速发展,越来越多企事业单位开始应用虚拟化数据中心,而信息安全问题使得人们格外重视虚拟化数据中心的安全设计。
本文从其安全风险出发,简单论述几点安全设计策略。
关键词虚拟化;安全风险;隔离;数据
早在上世纪60年代,IBM便提出虚拟化技术,近年来在云计算技术的发展下,虚拟化技术日益普及,据悉,越来越多客户认识到虚拟化技术的重要作用,并计划在未来几年内大力应用虚拟技术,进行IT基础设施的虚拟化改造。
虚拟化数据中心就是应用虚拟化技术建立虚拟化资源池,实现对整个系统的资源集中调配,要保证数据中心的安全运行,必须采取恰当安全措施,防护安全风险。
1虚拟化数据中心的安全风险
1.1网络架构调整带来的安全风险
虚拟化数据中心与传统数据中心的网络架构不同,这就带来了新的安全风险。
在虚拟机部署之前,在防火墙上建立一个隔离区,其对物理层上的服务器采用严格的访问控制,将不法分子的攻击控制在一个范围或区域内;部署虚拟机后,一台虚拟机出故障失效后,安全问题极可能通过网络传输到其他虚拟机上。
1.2虚拟环境的安全风险
虚拟环境的安全风险最常见的是补丁、虚拟机跳跃、虚拟机溢出。
在物理服务器上安装多个虚拟机后,定期给每个虚拟机进行补丁的更新和维护,而补漏的虚拟机就可能潜藏安全风险。
另外,研究表明:不法分子可利用虚拟机破坏主机,潜藏病毒、恶性软件等的踪迹,给虚拟化数据中心的运行带来一定风险。
1.3来自虚拟化软件的安全风险
虚拟化的BSD客户端与物理层面上的设备一样具有安全问题。
虚拟化BSD 客户端与单个设备一样有安全风险。
Hypervisor,是一个操作系统,负责管理主机0C与客户端0S之间的通信,管理员无需担心单个设备上的BSD安全,但必须关注BSD的安全。
例如:主机箱客户端的虚拟CD加ISO文件,首先,主机上的虚拟化软件进程能接入ISO文件,由于其是高级用户运行,权限较高,故而接入ISO文件基本不成问题;然后,由于客户端上有一个程序负责与主机的通信,这时候只需要在客户端上安装相应的软件,在客户端上的Hypervisor进行调令,向主机发出命令申请,申请与主机WMM通信,要求主机代替客户端启动硬件调用,这个时候会使客户端认为主机正在接入物理CD。
这个例子说明,主机与客户端之间有
一个高级用户运用的未检查系统,它会被不法分子利用,利用客户端实现对主机的破坏,从数据拦截到数据中心的全面攻击等,因此,必须重视虚拟化软件的安全保护。
2安全设计
2.1安全需求分析
与传统数据中心相比,虚拟化数据中心新增了主机动态迁移和业务混存安全风险,安全需求从主机动态迁移到其他物理层面,利用通道隔离、接入控制和安全策略动态迁移实现数据中心的三维安全,如图1所示。
2.2网络安全部署
虚拟化数据中心的最大优点是实现数据资源的集中调配,数据调配非常灵活,而网络安全防护点应上移,不将网关设计在防火墙上,这样有利于确保数据中心的性能不遭受影响,确保防火墙的灵活性。
可以将虚拟化数据中心的服务器群分成两组,安全级别较低的服务器群与客户端之间采用防火墙隔离,利用防火墙实现访问控制;安全级别高的服务器群则通过身份认证网关于客户端隔离,起到良好的数据保护效果。
2.3存储虚拟化的安全防护措施
2.3.1资源隔离和访问控制
存储虚拟化后最大的便利就是用户只需要将需要存储的数据提交给虚拟磁盘即可,由虚拟磁盘进行数据的分区存储,这虽然给用户带来很大便利,但同时也带来了一些安全问题,如:不同安全级别的数据被存储到同一物理介质上,而安全级别较低的主机则可以访问到高安全级别的数据信息,此时,必须采取合适的隔离和访问控制措施,必须有授权才能访问授权的资源,未经授权的不仅看不到资源,还看不到资源的存在。
对虚拟客户机加载vShield APP组件(虚拟应用防火墙)、隔离和保护应用,vShield APP中的虚拟化程序级别防火墙能提供自适应的安全保护机制,能在虚拟机和主机之间迁移,便于企业及时了解虚拟应用情况,实现主机与虚拟机之间无障碍通信。
2.3.2数据加密
数据加密是最常见的安全措施,存储虚拟化后,数据加密是数据的最后一道安全防线。
随着数据加密技术的快速发展,设计人员应根据实际需求采取合适的数据加密技术,保护数据的完整性和正确性。
2.3.3入侵检测系统
在存储系统中设计一个分布式入侵检测系统,它能对存储设备的所有读写操作进行抓取、统计、分析,并对其中的异常情况报警。
入侵存储系统有独立的硬件和操作系统,它与主机是相互独立的,在主机被入侵时第一时间提供信息保护。
一般来说,应在存储系统的关键路径上部署入侵检测系统,并加强系统管理,及时报警、及时响应、及时处理。
3安全管理措施
在虚拟化数据中心构建初期,组织一支专业安全管理队伍进行系统的安全管理,并制定相应的安全管理规程;进入构建中后期时,由行政组织进行数据中心的安全管理。
在业务流量方面,既要保证相应业务所需的带宽,又确定不同业务对信息的需求,定期分析网络流量、硬件利用率等,防范因数据中心的性能缺陷导致安全风险。
在资源管理方面,借鉴有效的资源运维管理经验,利用工具加强对资源变更的跟踪和管理。
在没有明确的虚拟化环境的行业准则时,单位应根据实际情况和安全管理规程以及现有的技术标准进行安全管理的改良,制定一个适合本单位的安全管理准则,有效提高安全管理效果,保证数据中心的安全运行。
4结论
本文从系统、环境和软件三个方面分析虚拟化数据中心面临的安全风险,结合笔者的实践经验,提出安全设计的几点措施,要求单位从数据中心的安全需求出发,全方位做好安全管理工作,确保虚拟化数据中心的安全。
参考文献
[1]田勇,孙舟,施越,等.构建证券行业虚拟化数据中心基础架构的信息安全研究[J].信息网络安全,2012(12):1-3.
[2]钱麕馨,张辉鹏.虚拟化数据中心的安全问题分析[J].信息安全与技术,2013,4(8):50-53.。