当前位置:首页 > 通信技术 > 通信技术
[导读]对于IT专业人士而言,虚拟化既简化又复杂化了网络环境。大多数IT专业人士都知道,虚拟化提高了IT资产的运营灵活性 。然而,与此同时,虚拟化也让网络环境更加复杂。以前我们要说出具体机器的名称才能指向它,而现在

对于IT专业人士而言,虚拟化既简化又复杂化了网络环境。

大多数IT专业人士都知道,虚拟化提高了IT资产的运营灵活性 。然而,与此同时,虚拟化也让网络环境更加复杂。以前我们要说出具体机器的名称才能指向它,而现在这些机器被虚拟化为一个使它们具有移动性的基础设施。

无论是通过VMware的vMotion还是微软Hyper-V的Live Migration实现的移动性都确保了最高的运行时间,然而,这种移动性还引入了很多与安全有关的潜在问题。

如果虚拟机可以移动,它们将如何被控制?如果它们可以在任何位置,你该如何部署控制?

幸运的是,IT部署虚拟化的惊人速度催生了高水平的安全指导,而这比心态上的整体转变还要快。在提高动态虚拟环境的网络安全性时,请考虑以下三个关键步骤:

分离虚拟机管理和从虚拟机操作迁移是很重要的步骤。

技巧1:从虚拟机操作分离虚拟机管理。 这个技巧最常被忽略,而这也是最重要的技巧之一。

首先,考虑一下虚拟机可能的操作:电源开启和关闭、重新启动其操作系统、创建和管理快照(snapshot),以及在其操作系统内工作或者远程化其控制台。

记住这些操作,现在将它们分成截然不同的两部分。第一部分是再虚拟机内完成的操作,例如管理或者说运作其操作系统。第二部分是对虚拟机本身进行的操作,例如打开电源开关或者创建快照。最佳网络安全做法建议第二部分的操作应该隔离到其自身的独立的高度控制的网络中。

如果这种隔离还是让你感到困惑,那么可以想一想对实体计算机的操作。在实体计算机上,有电源按钮、网络接口,以及直接(或逻辑地)连接到机箱的各种形式的管理工具。你需要按下电源按钮来关闭机器,电源按钮就在机箱上。连接网络也需要你将网线插入机箱。

在现实世界,需要通过指纹识别和证件进入数据中心房间后,才能够进行这些操作。如果虚拟化环境没有部署身份验证系统,而任何人都可以直接操作,这就像将数据中心房间的大门敞开。将这些操作(通常是通过系统管理程序的“管理连接”来设定)隔离到它们自己的网络等于重新锁上了虚拟数据中心的大门。

技巧2:从虚拟机操作中隔离虚拟机迁移。如果说,技巧1是最容易被遗忘的最佳做法,那么技巧2则紧跟其后。很多IT专业人士并不一定知道,在vMotion或者Live迁移期间,一些管理程序并不会对两台主机间传递的内存状态信息进行加密。

现在,从很多类型的恶意软件行为的角度,想一想这种设计目的。这些恶意软件行为都是关于捕捉以及重新配置内存数据值,通过重新配置某些内存数据值,恶意软件可以将其自身“插入”到内存中,然后将其有效载荷放入内存,恶意软件就可以在不被系统察觉的情况下进行任何操作。

虽然虚拟机是在主机上运行,但它们地内存仍然受到操作系统架构内元素的保护。然而,在迁移过程中,这些元素被规避了,以将虚拟机的内存状态从一台主机传递到另一台。虽然这种情况很短暂并且不可预知,但是这仍然为潜在攻击者提供了一次绝佳的机会。

尽管这个漏洞很难被利用,但是迁移流量应该被隔离到自己的网络还有第二个原因:性能保证。迁移是时间敏感事件,特别是当很多迁移需要同时进行的时候。通过将其流量隔离到独立的网络路径,可以帮助确保快速执行迁移的最佳环境。

正确的网络隔离政策帮助确保最佳虚拟机操作。

技巧3:从虚拟机操作分隔虚拟机存储。 从这些建议中,你看得出主题是什么吗?很明显,适当的网络隔离是确保最佳虚拟机操作的最重要因素。

存储问题与上述技巧1和技巧2有所不同。众所周知,存储连接是极其消耗资源的。虚拟机到其磁盘的连接通常需要大比例的千兆或万兆连接。将存储隔离到自身网络避免了一个连接类型影响其他连接的吞吐量问题。

从安全角度来看,应该认识到一些存储连接类型可能需要特别注意,例如iSCSI或者FCoE连接。在存储流量传递不被虚拟环境管理员完全信任的网络中,这个建议显得尤为重要。iSCSI和FCoE都配备了身份验证协议以确保目标和发起者在传递流量前互相确定身份。

在加密流量以及流量在发起者和目标之间的传递方面,这两种协议只能提供有限的支持。现在有很多技术可以完成这个任务,然而,在实际操作中并不是那么理想。加密要求在源头和目标处进行额外的处理工作,而这种处理将影响或者降低性能。

加密还会对下游活动造成不良影响,例如如果在其配置中没有进行特殊关注,将会出现复制问题。在选择加密路径前,请咨询制造商。在确保传递过程的安全方面,可能需要不同的硬件、软件或者配置。

结语

正如你所见,虚拟环境的网络安全覆盖面比物理环境更广,有更多需要我们注意的地方。如果你选择虚拟化,请检查你的网络安全策略,找出薄弱环节。要知道,潜在攻击者肯定在做同样的事情。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭