自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

虛擬化環(huán)境下實現(xiàn)安全分區(qū)

云計算 虛擬化
虛擬化環(huán)境為我們解決了很多問題,但是虛擬化環(huán)境下如何實現(xiàn)安全分區(qū)很多朋友還不了解,我們這就來看一看怎么實現(xiàn)虛擬化環(huán)境下的安全分區(qū)。

虛擬化和云計算都是時下最熱門的話題,后者需要依賴于前者。我們可以使用客戶端和服務(wù)器虛擬化技術(shù)來搭建虛擬化環(huán)境,以此減小數(shù)據(jù)中心和客戶端規(guī)模,也可以整合客戶端和服務(wù)器來降低能耗需求,還可以從多個物理機(jī)器將服務(wù)器移至虛擬化環(huán)境上以解決機(jī)架空間問題。虛擬化是成功的,因為虛擬化幫助我們解決了很多問題。

然而,還有一個方面是虛擬化沒有解決的,那就是安全問題。虛擬化技術(shù)本身并不是安全技術(shù)。事實上,虛擬化的安全問題能夠反映出物理環(huán)境的安全問題。安全問題在虛擬化環(huán)境中變得越來越重要,因為安全問題將對虛擬化環(huán)境造成很嚴(yán)重影響。

正因如此,我們需要認(rèn)真考慮虛擬化環(huán)境核心安全概念以及相關(guān)部署問題。在所有網(wǎng)絡(luò)(尤其是虛擬客戶端和服務(wù)器網(wǎng)絡(luò))中都適用的一個重要概念就是:安全分區(qū)。安全區(qū)集合了承擔(dān)著共同安全風(fēng)險或者安全威脅的資源,有幾種方法可以歸納安全區(qū)的特點:

相同安全區(qū)的所有成員都承擔(dān)著共同的安全風(fēng)險

相同安全區(qū)的所有成員對于企業(yè)有著相似的價值,高價值資產(chǎn)不可能與低價值資產(chǎn)位于同一安全區(qū)

面向互聯(lián)網(wǎng)的主機(jī)通常與面向非互聯(lián)網(wǎng)的主機(jī)位于不同安全區(qū)

一個安全區(qū)受到破壞并不會影響其他安全區(qū),受破壞的安全區(qū)應(yīng)該是隔離的,不會對其他區(qū)造成任何影響

安全區(qū)必須通過物理或者邏輯方式進(jìn)行分割,必須使用訪問控制設(shè)備或者軟件來控制用戶對不同安全區(qū)的訪問權(quán)??梢允褂梅阑饓韯?chuàng)建物理分割,或者使用先進(jìn)軟件方式(如Ipsec)來創(chuàng)建虛擬網(wǎng)絡(luò)分割。

在虛擬化環(huán)境和物理環(huán)境中都應(yīng)該進(jìn)行安全分區(qū)和安全分割,例如可以將安全區(qū)按照以下三種簡單分區(qū)進(jìn)行分割:

互聯(lián)網(wǎng)邊緣安全區(qū)

客戶端系統(tǒng)安全區(qū)

網(wǎng)絡(luò)服務(wù)安全區(qū)

下圖顯示的是一個簡單的服務(wù)器整合,主要側(cè)重于虛擬化項目。這個結(jié)構(gòu)中有一個虛擬服務(wù)器,該虛擬服務(wù)器控制著防火墻、域控制器、郵件服務(wù)器以及文件服務(wù)器。這些虛擬機(jī)都連接到相同的物理網(wǎng)絡(luò)中(就像客戶端系統(tǒng)一樣)。

這其實是一個很糟糕的安全模式,原因如下:

面向互聯(lián)網(wǎng)的虛擬機(jī)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于同一個虛擬服務(wù)器上,互聯(lián)網(wǎng)防火墻虛擬機(jī)出現(xiàn)問題時,將會對網(wǎng)絡(luò)服務(wù)機(jī)器造成負(fù)面影響,而網(wǎng)絡(luò)服務(wù)器屬于不同安全區(qū)。

客戶端系統(tǒng)與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于相同的物理網(wǎng)絡(luò),客戶端系統(tǒng)出現(xiàn)問題時,將會對虛擬化環(huán)境造成不良影響??蛻舳讼到y(tǒng)應(yīng)該與網(wǎng)絡(luò)服務(wù)虛擬機(jī)進(jìn)行分割,放置在不同的安全區(qū)。

這是一個簡單服務(wù)器整合項目的常見設(shè)計,從安全觀點來看,這是個很糟糕的設(shè)計。讓我們看看可以怎樣改善這種狀況:

 

下圖展示的是比圖1更好的虛擬化環(huán)境安全配置,在這個設(shè)計中,添加了第二臺虛擬服務(wù)器。***臺虛擬服務(wù)器只控制邊緣安全設(shè)備,這能有效分割面向互聯(lián)網(wǎng)的防火墻與面向非互聯(lián)網(wǎng)的主機(jī),從而成功地將防火墻安全區(qū)從網(wǎng)絡(luò)服務(wù)安全區(qū)中分割出來。不管虛擬防火墻還是在虛擬服務(wù)器上運(yùn)行的防火墻受到破壞,位于第二臺虛擬服務(wù)器上的虛擬機(jī)器都不會受到太大負(fù)面影響。

第二臺虛擬機(jī)僅控制著屬于網(wǎng)絡(luò)服務(wù)安全區(qū)的虛擬機(jī),不過,客戶端系統(tǒng)仍然與網(wǎng)絡(luò)服務(wù)虛擬機(jī)位于相同物理網(wǎng)絡(luò)中。這不是一個***配置方式,因為如果客戶端系統(tǒng)安全區(qū)發(fā)生故障,這些安全區(qū)之間沒有訪問控制或者安全設(shè)備可以限制故障造成的潛在影響。

雖然這種虛擬化環(huán)境的安全設(shè)計優(yōu)于***種設(shè)計,不過還是有很多地方可以進(jìn)行改善的,以創(chuàng)造更安全的配置。

 

  

【編輯推薦】

  1. HP-UX 六大虛擬化技術(shù)之“分區(qū)”
  2. 教程:虛擬化與分區(qū)的本質(zhì)區(qū)別是什么
  3. 解決無法安裝VMWARE Tools的問題
責(zé)任編輯:桑丘 來源: 中小企業(yè)IT網(wǎng)
虛擬化環(huán)境
相關(guān)推薦

2011-05-05 18:18:34

2012-01-13 13:15:56

2009-05-05 14:30:19

虛擬化安全解決方案

2012-06-20 14:09:36

2011-10-24 15:41:55

云計算網(wǎng)絡(luò)安全

2011-12-25 20:41:55

云計算

2010-03-16 15:16:26

服務(wù)器負(fù)載均衡服務(wù)器CPU利用率

2016-12-11 10:41:25

云計算虛擬化環(huán)境

2022-04-21 16:19:25

云安全多云網(wǎng)絡(luò)安全

2015-07-07 15:42:16

網(wǎng)絡(luò)安全虛擬化安全

2010-01-22 16:08:11

IT運(yùn)維管理

2024-02-23 10:11:00

虛擬化技術(shù)

2013-06-28 09:21:51

PTC Creo虛擬化應(yīng)用

2013-12-02 14:02:28

虛擬化安全虛擬化

2018-06-20 10:56:19

2023-09-19 10:00:34

Linux虛擬

2011-10-18 10:37:05

ibmdwJVM

2010-05-26 16:21:45

虛擬化存儲

2011-01-28 09:22:36

System x

2013-12-25 14:53:54

點贊
收藏

51CTO技術(shù)棧公眾號