存储网

www.Stor.com.cn,专业存储网站,中国存储门户。
当前位置:首页 > 存储管理/虚拟化 > 浅析虚拟化环境中安全分区问题

浅析虚拟化环境中安全分区问题

发布时间:2011-05-23 16:06 来源:存储网 我要投稿

虚拟化和云计算都是时下最热门的话题。我们可以使用客户端和服务器虚拟化技术来减小数据中心和客户端规模,也可以整合客户端和服务器来降低能耗需求,还可以从多个物理机器将服务器移至虚拟服务器上以解决机架空间问题。虚拟化是成功的,因为虚拟化帮助我们解决了很多问题。

然而,还有一个方面是虚拟化没有解决的,那就是安全问题。虚拟化技术本身并不是安全技术。事实上,虚拟化的安全问题能够反映出物理环境的安全问题。安全问题在虚拟化环境中变得越来越重要,因为安全问题将对虚拟服务器造成很严重影响。

正因如此,我们需要认真考虑虚拟化环境核心安全概念以及相关部署问题。在所有网络(尤其是虚拟客户端和服务器网络)中都适用的一个重要概念就是:安全分区。安全区集合了承担着共同安全风险或者安全威胁的资源,有几种方法可以归纳安全区的特点:

·相同安全区的所有成员都承担着共同的安全风险

·相同安全区的所有成员对于企业有着相似的价值,高价值资产不可能与低价值资产位于同一安全区

·面向互联网的主机通常与面向非互联网的主机位于不同安全区

·一个安全区受到破坏并不会影响其他安全区,受破坏的安全区应该是隔离的,不会对其他区造成任何影响

·安全区必须通过物理或者逻辑方式进行分割,必须使用访问控制设备或者软件来控制用户对不同安全区的访问权。可以使用防火墙来创建物理分割,或者使用先进软件方式(如Ipsec)来创建虚拟网络分割。

在虚拟化环境和物理环境中都应该进行安全分区和安全分割,例如可以将安全区按照以下三种简单分区进行分割:

·互联网边缘安全区

·客户端系统安全区

·网络服务安全区

下图显示的是一个简单的服务器整合,主要侧重于虚拟化项目。这个结构中有一个虚拟服务器,该虚拟服务器控制着防火墙、域控制器、邮件服务器以及文件服务器。这些虚拟机都连接到相同的物理网络中(就像客户端系统一样)。

这其实是一个很糟糕的安全模式,原因如下:

·面向互联网的虚拟机与网络服务虚拟机位于同一个虚拟服务器上,互联网防火墙虚拟机出现问题时,将会对网络服务机器造成负面影响,而网络服务器属于不同安全区。

·客户端系统与网络服务虚拟机位于相同的物理网络,客户端系统出现问题时,将会对网络服务虚拟机造成不良影响。客户端系统应该与网络服务虚拟机进行分割,放置在不同的安全区。

这是一个简单服务器整合项目的常见设计,从安全观点来看,这是个很糟糕的设计。让我们看看可以怎样改善这种状况:

\