在數據中心中實施虛擬化將帶來新的安全性挑戰,從虛擬機蔓延問題到管理程序漏洞不盡相同。但是,虛擬化還能夠通過配置管理和補丁程序升級的方式提供一些令人驚訝的安全性和合規性好處。有幾個工具在虛擬化環境中可以簡化配置管理流程和補丁程序升級。
管理程序的配置管理流程
需關注的第一個方面是管理程序平臺本身。VMware本來就具有內置在vSphere中被稱為Host Profiles的顆粒配置管理功能,它可用于開發ESX和EXSi管理程序服務器的模板。管理員們可以在vCenter控制臺內配置一個ESX或ESXi的安全構建,還可實現預留內存、網絡控制以及本地安全設置等功能。一旦定義了安全構建,就可使用Host Profiles掃描其他的系統,并與這個“黃金標準”進行比較,從而生成對審核者有幫助的合規性報告。Host Profiles還可用于實現管理程序配置匹配標準的自動化,從而大大簡化了虛擬化管理員們更多費時任務之一。
但是,使用Host Profiles有兩個重要的附加說明。首先,Host Profiles只能配置ESX和ESXi的最新版本,它不支持目前眾多企業仍然使用的ESX和ESXi3.x版的配置。其次,為了確實配置服務器,它們必須被置于“維護模式”,這就意味著應用變更時在那個系統上的所有虛擬機都將遷移至其他主機。這可能是一個重要的操作,并需在定義的變更窗口內進行相關計劃。
虛擬機的配置管理流程
對于大多數的組織來說,他們都花費了相當數量的時間和精力用于虛擬機的補丁程序升級和配置。幸運的是,包括VMwarevSphere、微軟Hyper-V以及CitrixXen在內的所有主流虛擬化平臺都提供了某種形式的虛擬機模板創建和部署能力。在VMware vSphere中,可使用一個非引導主鏡像模板來配置新虛擬機。有三種不同的創建模板方法:
1.“轉換現有虛擬機”涉及一個現有虛擬機,并將其轉換為非引導主鏡像的操作。
2.“克隆虛擬機至模板”涉及一個現有的虛擬機,但將使用的虛擬機副本作為非引導主鏡像。
3.“克隆現有模板”指復制現有的模板鏡像。
所有這些操作都可以進行日志記錄,所以當查看創建或克隆的模板日志時,安全和審核團隊可以進行跟蹤。
一旦你有了一個創建的模板,你可以使用該模板進行三項操作:
1.“克隆模板”可以允許你制作模板副本。請注意,模板可進行熱克隆或冷克隆,意即當虛擬機啟動運行時(熱)或關閉(冷)時可執行克隆操作。
2.“轉換至虛擬機”可用于更新補丁程序模板。一個模板必須轉換為虛擬機,虛擬機設置可改變,或者可打開虛擬機升級補丁程序,然后你就可以再次進行模板創建流程。
3.“從該模板部署虛擬機”是基于模板鏡像用于部署標準化虛擬機的功能。
微軟公司的系統中心虛擬機管理器(SCVMM)和Citrix Xen Center也有類似的模板創建和管理工具。
虛擬化補丁程序管理
補丁程序升級是另外一個可在虛擬環境中簡化的關鍵操作。管理程序需要用于下載和安裝補丁程序的專用工具,例如VMwarevSphere更新管理器(VUM)。對于虛擬機的補丁程序升級,可使用諸如ShavlikNetChk平臺的VUM或商用補丁程序升級工具來為運行或脫機的虛擬機升級補丁程序,從而賦予管理員們更大的靈活性和粒度進行補丁程序升級工作的安排和部署。
另外,一些企業建立傳統補丁程序升級平臺和使用諸如微軟公司Windows Server Update Services(WSUS)這樣的工具,作為虛擬化環境中的專用虛擬機。此舉通過對虛擬機使用專用補丁程序升級工具和允許更簡單的分布式補丁程序升級提高了性能和整體補丁程序升級效率。
一個簡單的配置和補丁程序管理流程使用模板和克隆,具體如下:
1.定義一個用于操作系統和應用程序的健全配置標準(使用供應商提供的指導、互聯網安全中心或其他)。
2.創建符合配置標準的虛擬機實例,然后將其轉換為模板。
3.使用VUM或其他補丁程序管理工具來為管理程序和虛擬機(在線或離線)升級補丁程序。確定對模板升級補丁程序,首先它通常需要將模板轉換為虛擬機,然后在升級補丁程序后將它們轉換回模板。
通過使用合適的工具和精心創建配置和升級虛擬系統的流程,管理員們可能會發現與補丁程序和配置管理相關的乏味任務少了幾許難以承受之重。
京公網安備 11010502049343號