傳統的安全設計思想在虛擬化中同樣適用。相比傳統伺服器安全而言,安全問題對於虛擬化平台顯得格外重要。因為使用者在利用虛擬化的眾多優勢的同時,可能會對因為共享帶來的潛在風險十分敏感。同時,集中了運算,儲存,網路於一體,也提高了虛擬化安全的廣度和複雜性。本文嘗試介紹虛擬化基本安全架構和設計思路,幫你在眾多的安全話題理出個頭緒。後續文章會對每個層面深入分析。
一基本安全架構
在我設計的上圖中,三個縱軸代表了在傳統安全設計的三個要素,分別是authentication, authorization和accounting。
authentication:你是誰?
體現在用密碼、令牌、數字證書和指紋等方式驗證使用者的身份。
authorization:你被授予什麼許可權?也就是你能幹什麼?你不能幹什麼?
accounting:所有的登陸、改動等活動有記錄可查
實施上述三個要素常用到radius,tacacs和diameter等協議或方法。
上圖的四個橫軸代表了虛擬化平台中的四個層面。在安全設計時,需要在每一層都考慮縱軸代表的三個要素。
virtualisation layer:主要指esxi/esx主機的安全。考慮因素: 有沒有漏洞可以利用來***hypervisor層?如何在主機安全和便於管理之間找到乙個平衡?lockdownmode
virtual network layer:涉及物理網路、虛擬網絡卡,標準虛擬交換機vswitch,分布式虛擬交換機dvs,nexus1000v等。考慮因素:共享虛擬網路如何實現隔離,如果用一致的安全策略來管理物理網路和虛擬網路?
virtual machine layer:考慮因素:虛擬機器之間如何隔離,虛擬機器自身的安全考慮,防病毒和malware,應用程式安全
management layer:使用vcenter等管理工具集中了很多管理的功能,大大增加了管理眾多虛擬機器的效率。同時如果管理工具被惡意利用時,會造成大範圍的影響。
考慮因素:日誌管理,許可權管理,***檢測,變更管理,配置管理
利用眾多vmware管理工具和第三方的軟體提高安全性。
二安全管理流程和策略
安全管理需要持續的努力,並根據新的情況不斷改進。大型企業往往已經有適用於物理環境的安全策略。在虛擬化平台安全設計中,要特別在哪些方面與物理環境不同,從而決定哪些策略需要調整。
實戰虛擬化 安全設計之一基本架構
傳統的安全設計思想在虛擬化中同樣適用。相比傳統伺服器安全而言,安全問題對於虛擬化平台顯得格外重要。因為使用者在利用虛擬化的眾多優勢的同時,可能會對因為共享帶來的潛在風險十分敏感。同時,集中了運算,儲存,網路於一體,也提高了虛擬化安全的廣度和複雜性。本文嘗試介紹虛擬化基本安全架構和設計思路,幫你在眾多...
python爬蟲之一 基本架構
排程器 呼叫其他元件,並控制目標資料輸出 url管理器 儲存待爬取 已爬取url,要防止爬取重複的url 網頁解析器 解析html頁面中的文字資訊,獲取目標資料和新的url鏈結 2.2.1 功能 維護待爬取集合和已爬取集合 判斷得到的url是否已爬取 將新的url新增到待爬取集合 判斷待爬取集合是否...
虛擬化實戰 容災設計之一設計方法
在容災設計中需要有個清晰的思路,能幫助我們既能考慮大局,又能照顧到細節。以商業需求為主導是必須的,而不是一上來就談某個產品的具體功能。我總結了以下三個步驟 一 深入了解商業需求 上圖列出了一些 business parameters。摘自此文。我們著重談其中的的幾個要素 rto recovery t...