服务器虚拟化部署阶段的安全问题和对策
当你的公司决定在企业内部进行服务器虚拟化改造后,摆在你面前是原来数量可观的物理机,它们性能不一,所用的操作系统也不尽相同。如何安全地将这些物理服务器迁移到虚拟机上去而不影响现有的业务运作,这是一个需要认真考量的问题。通常我们用工具来完成这一工作。其一用VMware提供的迁移工具——VMware P2V Assistant来完成迁移工作,但这一工具的不足之处是不能迁移Windows之外的主机,对于非Windows系列的主机那就要使用另一款工具——Symantec Ghots企业版,它通过把想要迁移的服务器硬盘制作成镜像文件,并通过网络恢复到虚拟机中。这两款工具对原有服务器只是一个拷贝的动作,不会造成危害,相对来说较安全。当你一台机器上部署多台虚拟机后,那么这台机器要承担多少并发访问量,性能是否满足需求就应当考虑在内,发生单点故障后如何解决?当你把承载企业应用的多个虚拟服务器部署在一台物理服务器上时,如何应对单点故障风险是必须考虑的,否则当发生故障时,不能及时恢复将给企业带来灾难性的后果。因此在条件允许的情况下,最好使用另一台物理服务器做相应的镜像备份和冗余设置,以便故障发生时,备用服务器能立刻上线运行,同时使用UPS电源来保障电力供应的稳定,并使用多合一防雷器和可靠的接地系统来预防雷电的损害。此外,物理主机的位置、机房的散热条件,以及其它能减少自然灾害的因素都必需考虑到。
网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。当多台虚拟服务器上线运行后,它们之间的网络如何被相互隔离,它们彼此通信时又是以什么方式进行,如何保证这些通信是安全的,是不被侦听的?尚未进行服务器虚拟化之前,企业可以在前端的防火墙设备上订立出多个隔离区,针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟平台(如VMware ESX/ESXi,微软的Hyper—V),或者由『虚拟——实体j网卡之间的桥接(如VMware Server/Workstation,微软的Virtual Server/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。因此应当通过VLAN和不同的lP网段的方式进行逻辑隔离,对需要相互通信的虚拟服务器之间的网络连接应当通过VPN的方式来进行,以保护它们之间网络传输的安全。除此之外你还要建立起一套行之有效的监控手段,以便让你了解各个虚拟机之间联系记录,否则你将而对一个失控的虚拟服务器网络。
