Skip to main content

 路由器设置 > 新闻资讯 >

安全设计之一基本架构

2014-01-16 23:37 浏览:

作者:范军 (Frank Fan) 新浪微博:@frankfan7

传统的安全设计思想在虚拟化中同样适用。相比传统服务器安全而言,安全问题对于虚拟化平台显得格外重要。因为用户在利用虚拟化的众多优势的同时,可能会对因为共享带来的潜在风险十分敏感。同时,集中了运算,存储,网络于一体,也提高了虚拟化安全的广度和复杂性。本文尝试介绍虚拟化基本安全架构和设计思路,帮你在众多的安全话题理出个头绪。后续文章会对每个层面深入分析。

 

基本安全架构

 

在我设计的上图中,三个纵轴代表了在传统安全设计的三个要素,分别是Authentication, AuthorizationAccounting

Authentication你是谁?

体现在用密码、令牌、数字证书和指纹等方式验证用户的身份。

Authorization你被授予什么权限?也就是你能干什么?你不能干什么?

Accounting所有的登陆、改动等活动有记录可查
 

实施上述三个要素常用到RADIUS,TACACSDiameter等协议或方法。

上图的四个横轴代表了虚拟化平台中的四个层面。在安全设计时,需要在每一层都考虑纵轴代表的三个要素。

Virtualisation  Layer:主要指ESXi/ESX主机的安全。考虑因素有没有漏洞可以利用来入侵hypervisor层?如何在主机安全和便于管理之间找到一个平衡?LockdownMode

Virtual network Layer:涉及物理网络、虚拟网卡,标准虚拟交换机vSwitch,分布式虚拟交换机DVSNexus1000v等。考虑因素:共享虚拟网络如何实现隔离,如果用一致的安全策略来管理物理网络和虚拟网路?

Virtual Machine  Layer考虑因素:虚拟机之间如何隔离,虚拟机自身的安全考虑,防病毒和Malware,应用程序安全

Management Layer:使用vCenter等管理工具集中了很多管理的功能,大大增加了管理众多虚拟机的效率。同时如果管理工具被恶意利用时,会造成大范围的影响。

考虑因素:日志管理,权限管理,入侵检测,变更管理,配置管理

利用众多VMware管理工具和第三方的软件提高安全性。

 

安全管理流程和策略

安全管理需要持续的努力,并根据新的情况不断改进。大型企业往往已经有适用于物理环境的安全策略。在虚拟化平台安全设计中,要特别在哪些方面与物理环境不同,从而决定哪些策略需要调整。