現(xiàn)在,越來(lái)越多的企業(yè)正部署桌面和服務(wù)器虛擬化技術(shù),將各種機(jī)架、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源全部融合到資源池中。而未來(lái)的發(fā)展趨勢(shì)也是朝向“越小巧性能越強(qiáng)大,能耗更低,簡(jiǎn)單易用”發(fā)展。
然而,隨著企業(yè)更多的從物理平臺(tái)轉(zhuǎn)向虛擬化,云服務(wù)的創(chuàng)建和部署也越來(lái)越方便,安全就成了一個(gè)頭等重要的問(wèn)題。那么,在云環(huán)境下,如何有效地保護(hù)虛擬系統(tǒng)呢?下面,我們?yōu)榇蠹姨峁┮韵率蠹记桑?/p>
一、傳統(tǒng)安全控制仍可用
在過(guò)渡到虛擬環(huán)境過(guò)程中,我們?nèi)圆荒芡浤承﹤鹘y(tǒng)的安全手段。比如病毒防護(hù)工具、防火墻、入侵檢測(cè)等等,它們?cè)诜?wù)器和虛擬主機(jī)上仍有大展身手的舞臺(tái)。值得一提的是,這些安全工具在進(jìn)行重大安全升級(jí)的時(shí)候,有可能會(huì)導(dǎo)致意外的服務(wù)中斷。
二、保護(hù)Hypervisor
在虛擬環(huán)境的頂層提供了訪問(wèn)入口。虛擬安全控制可幫助阻止未經(jīng)授權(quán)對(duì)Hypervisor的更改和干預(yù)。
三、創(chuàng)建虛擬安全政策
通常物理環(huán)境下我們都有一個(gè)安全政策,但在虛擬環(huán)境下,我們也同樣需要有這種安全政策。它們之間有很多可以并用,但還有很多方面是與物理環(huán)境下的安全政策是不同的。
四、部門之間協(xié)作
虛擬化一般都會(huì)涉及到整個(gè)企業(yè)各個(gè)部門,因此也容易出現(xiàn)安全意外。需要確保在出現(xiàn)沖突和安全意外的時(shí)候,能保持溝通暢通對(duì)公司內(nèi)各部門開放。
五、創(chuàng)建虛擬端點(diǎn)安全
傳統(tǒng)防火墻、入侵防范監(jiān)測(cè)系統(tǒng)在虛擬環(huán)境和移植到云架構(gòu)中,都能發(fā)揮不少作用。虛擬防火墻和IPS在某些關(guān)鍵架構(gòu)點(diǎn)上需要進(jìn)行部署。同樣,也不能忽略監(jiān)視和跟蹤企業(yè)整合安全信息和事件管理系統(tǒng)。
六、批量管理
云端會(huì)有很多相同或者類似的問(wèn)題,虛擬環(huán)境需要能根據(jù)系統(tǒng)和數(shù)據(jù)的臨界值來(lái)批量管理。
七、沿用管理者特權(quán)
基于角色的訪問(wèn)控制在虛擬環(huán)境中能大有可為。可根據(jù)優(yōu)先規(guī)則繼續(xù)采用管理訪問(wèn)權(quán)限設(shè)定。
八、部署虛擬辯論術(shù)和深度防御
每個(gè)系統(tǒng)、虛擬環(huán)境中都會(huì)出現(xiàn)問(wèn)題。在虛擬系統(tǒng)中部署辯論術(shù)登陸和分析,以更加可視化效果來(lái)增加對(duì)每個(gè)虛擬化設(shè)備的深度防御。
九、投入更多精力進(jìn)行培訓(xùn)
虛擬安全的培訓(xùn)不同于物理世界的安全培訓(xùn)。幾乎所有傳統(tǒng)工具的部署、管理在虛擬環(huán)境下都會(huì)不同。編制預(yù)算并為團(tuán)隊(duì)的培訓(xùn)制定計(jì)劃。
十、注意合規(guī)性問(wèn)題
相比物理環(huán)境,虛擬環(huán)境會(huì)被人以更加懷疑的態(tài)度來(lái)審視。因此,有必要提供更深度安全檢測(cè)和管理虛擬系統(tǒng),使得不斷貼近安全合規(guī)性要求。
京公網(wǎng)安備 11010502049343號(hào)