根据服务类型分开虚拟机

一旦根据位置分开虚拟资源之后，下一步就是根据任务或者服务分开虚拟机。换句话说，就是让全部的网络服务器虚拟机在一个资源池和集群中，让所有的应用虚拟机在另一个资源池或者集群中。同在隔离区内分开位置一样，这个架构旨在限制那些与攻破虚拟平台有关的风险。如果一个攻击者能够攻破一个客户虚拟机，在同一个物理主机上运行的其它客户机预计也会被攻破，因为它们共享同样的运行环境。如果在一个主机上运行的所有的虚拟机都是相同的并且都执行同样的任务，而且整个系统没有完全暴露，攻击者不必利用10个虚拟机安全漏洞，能够利用一个虚拟机的漏洞就够了。

另一方面，如果一个主机服务器正在所有的应用层运行（这些应用层包括网络服务器、应用程序服务器和数据库服务器），攻击者通过利用前端网路浏览器漏洞能够获得后端数据库的访问权限。现在，数据库将有更大的风险，因为它与网络服务器在同一台主机上运行，共享同样的资源。根据服务分开虚拟机有助于缓解这个风险，方法是隔离虚拟应用程序并且让虚拟机保持与具体的硬件资源和集群的联系。利用一种类型的虚拟机任务的安全漏洞不会直接使其它虚拟机任务面临风险。

分享按钮