专栏首页云计算D1net企业内部部署IaaS经验之谈

企业内部部署IaaS经验之谈

1.虚拟机(VM)的操作系统和应用程序必须是被锁定的,同时必须使用现有的规则进行正确的配置,如来自于互联网安全中心(CIS)的指导准则。

2.确保虚拟环境安全性的第二个关键在于确保管理平台的安全性,这个管理平台会与虚拟机交互、配置和监控使用中的底层管理程序系统。

3.对于存储环境而言,请谨记,如同其他任何的敏感文件一样,必须保护好虚拟机。某些文件存储有效的内存或内存快照(可能是最敏感的,如可能包含的用户凭据和其他敏感数据),以及其他的文件代表系统的完整硬盘。

当部署一个内部基础设施即服务(IaaS)云计算时,有一个广泛的安全性方面的考虑,即企业不仅必须考虑满足安全性最佳实践的要求,而且也应符合监管的要求。

在本文中,我们将具体讨论如何控制虚拟机实例、管理平台、以及支持IaaS实施的网络与存储基础设施。

虚拟机实例

首先,虚拟机(VM)的操作系统和应用程序必须是被锁定的,同时必须使用现有的规则进行正确的配置,如来自于互联网安全中心(CIS)的指导准则。正确的虚拟机管理还可能会产生更为健全和一致的配置管理措施。

在虚拟机实例上创建和管理安全配置的关键在于使用模板。管理员为在云计算中初始化所有的虚拟机而创建一个“黄金镜像”是非常明智的做法。应当为这个模板打好基线并执行严格的修订控制措施,以确保所有的补丁和其他更新都能够及时地得到应用。

很多虚拟化平台为确保虚拟机的安全性都提供了特定的控制措施;企业用户当然应该充分使用好这些功能。例如,VMware公司的虚拟机配置设置可特别地限制虚拟机与底层管理程序之间的复制和粘贴操作,这一措施可有助于防止敏感数据被复制到管理程序的内存和剪贴板。微软公司和Citrix System公司的平台产品可提供类似的防复制粘贴的限制措施。其他的平台功能可以帮助企业禁用不必要的设备、设置日志记录参数等等。

此外,当确保虚拟机实例安全性时,请务必根据标准数据分类原则隔离在不同云计算区域运行的虚拟机。由于虚拟机是共享硬件资源的,所以在相同云计算区域内运行虚拟机可能会导致数据在内存中发生错误,虽然如今这种错误发生的概率是极低的。

管理平台

确保虚拟环境安全性的第二个关键在于确保管理平台的安全性,这个管理平台会与虚拟机交互、配置和监控使用中的底层管理程序系统。

这些平台(如VMware vCenter、Microsoft系统中心虚拟机管理器(SCVMM)以及Citrix XenCenter)都配有他们自己可实施的本地安全控制措施。例如,Vcenter常被安装在Windows并继承本地管理员角色而具有系统权限,除非在安装过程中相关角色和权限被修改。

当谈及管理工具时,确保管理数据库的安全性是最为重要的,但是很多产品的默认设置并不具备内在的安全性。最重要的是,必须在管理平台内为不同的运营角色分配角色和权限。虽然很多企业都拥有一支在IaaS云计算内管理虚拟机运行的虚拟化运营团队,但是在管理控制台内不授予过多的权限是其中的关键原则。我建议分别为存储、网络、系统管理及其它团队授予不同的相关权限,就如同在传统数据中心环境中一样。

对于诸如vCloud Director和OpenStack这样的云计算管理工具,应当仔细分配角色和权限,但其中必须包括云计算虚拟机的不同最终用户。例如,开发团队应当拥有用于他们工作任务的虚拟机,这些虚拟机应当与财务团队使用的虚拟机隔离开。

所有的管理工具都应被隔离在一个单独的网段中,而要求通过一个“跳箱”或诸如HyTrust这样的专用安全代理平台访问这些系统是一个好主意,在这样的代理平台上你可以建立强大的认证和集中授权用户监控。

网络和存储基础设施

虽然确保推进IaaS云计算的网络和存储的安全性是一项涉及范围颇广的任务,但还是有一些应当实施的通用最佳实践。

对于存储环境而言,请谨记,如同其他任何的敏感文件一样,必须保护好虚拟机。某些文件存储有效的内存或内存快照(可能是最敏感的,如可能包含的用户凭据和其他敏感数据),以及其他的文件代表系统的完整硬盘。在这两种情况下,这个文件中都包含了敏感数据。在存储环境中使用单独的逻辑单元号(LUNs)和区/域以隔离不同敏感性的系统,这是至关重要的。如果存储区域网络(SAN)级加密功能可用,请考虑它是否适用。

在网络侧,请务必确保单个网段是隔离的,并在虚拟本地局域网(VLAN)和访问控制措施的掌控之下。如果在虚拟环境下细粒度安全控制是必须的,那么企业可以考虑使用虚拟防火墙和虚拟入侵检测设备。VMware公司的vCloud平台本身已集成了其vShield虚拟安全设施,而传统网络供应商的其他产品也是可用的。此外,还应考虑敏感虚拟机数据可能以明文传输的网段,如vMotion网络。在这个VMware环境中,明文内存数据将从一个管理程序传输至另一个,从而使敏感数据易于泄漏。

结论

当谈及确保虚拟环境或IaaS私有云计算安全性时,上述控制措施的三个方面只是冰山一角。如需了解更多信息,VMware有一系列深入强化的实用指南以用于评估具体的控制措施,而OpenStack在其网站上提供了一个安全性指南。通过遵循一些基本的做法,企业可以构建他们自己的内部IaaS云计算,并确保它们能够满足他们自己的标准和所有其他必要的行业要求。

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2013-12-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何让你的虚拟机更轻松地实现云就绪

    将工作负载迁移到云端的能力会带来许多优势,但首先要确认你的虚拟机是否可以平稳完成迁移。 今天的大趋势之一是,将公有云用作内部数据中心的扩展,但如果你的虚拟机还不...

    静一
  • 云计算中使用虚拟化面临的安全问题

    在云计算中,有三种基本服务模式:软件即服务(SaaS)、平台即服务(PaaS)和基础架构即服务(IaaS)。此外,还有三种基本部署模式:公共、混合和私有云计算。...

    静一
  • 云计算成本管理的6个技巧

    为了避免每月云计算支出超出组织的预期,组织可以使用容器,容量预购和更多的云成本管理策略来控制失控的云支出。 在云中运营组织的业务与在本地部署数据中心运行相比是...

    静一
  • virtualbox只能选用网络地址转换(NAT)模式下搭建个人局域网

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    suveng
  • 不通!还是不通!!!

    作为程序猿,简历上 如果不写上熟悉linux常用命令,似乎都不太好意思给别人说话,但是一般只有服务器才是linux的,个人电脑一般都是windows,那么如果自...

    小尘哥
  • 搭建hadoop集群虚拟机试验环境

    虚拟机点击启动之后,虚拟机默认是先启动虚拟光驱,刚刚已经添加了安装盘! 安装英文环境,时间选上海,设置root密码,一路next。没啥好说 安装模式选“ba...

    字母哥博客
  • 详解Linux安装教程

    VMware是虚拟机普遍使用的的一款软件,该软件方便实用,但想必有很多新接触的新手还是很陌生的,小编在这里就简要的来介绍一下安装过程以及遇到的问题,下面我们一起...

    砸漏
  • 沙箱程序之虚拟机篇

    最顶层是管理虚拟机的入口,linux开源套件 libvirt(官网:www.libvirt.org):

    战神伽罗
  • VMware中出现物理内存不足的解决方案

    昨天发布的原创文章忘记标识原创了,今天重新发布一下,已经阅读完成的小伙伴可以忽略。

    Python进阶者
  • 锁定文件失败,打不开磁盘“D:\biehl\centos\taotao\taotao-dubbo-register\CentOS-000001.vmdk”或它所依赖的某个快照磁盘。模块“Disk”启动

    1、锁定文件失败,打不开磁盘“D:\biehl\centos\taotao\taotao-dubbo-register\CentOS-000001.vmdk”或...

    别先生

扫码关注云+社区

领取腾讯云代金券