按照位置分开虚拟机

虚拟安全领域经常讨论的问题之一是在隔离区使用虚拟平台。经常看到一个物理虚拟机主机在隔离区运行公共的和专有的虚拟机，这两个安全领域的区分是在软交换机上实施的。在实践上，这种架构没有物理环境的架构那样安全，因为这种架构的虚拟机和物理机器共享运行环境。在物理领域，公共机器应该插入同一台交换机，虚拟局域网应该与专用机器分开，他们的计算资源（CPU、内存、总线和网络）是不同的。采用虚拟平台，这个计算的区分就消失了。一台主机上所有的虚拟机将共享CPU、内存、总线和网络资源。从理论上说，这个共享的虚拟架构提供了从公共网络向专有网络机器实施直接攻击的线路。这相当于把你的全部隔离区的鸡蛋都放在一个篮子里。虚拟平台上的一切都是由相同的软件共享和管理的。控制虚拟局域网部分的软件也控制这个主机的IP堆栈。那个主机上的IP堆栈中的安全漏洞会使整个客户网络处于危险之中。

消除共享的隔离区资源的安全威胁的解决方案是在物理上把公共的虚拟机与专用的虚拟机分开，在不同的主机上运行和管理这些虚拟机。所有公开的虚拟机都应该放置在公开的主机服务器上，用电缆线连接到物理地分开的网络。对于使用VMware公司的vCenter技术大规模实施虚拟化的企业来说，把公共资源与专用资源集群（许多组主机根据资源组成一个单一的管理池）分开也是很重要的。例如，VMware公司的DRS软件能够在一个集群中的主机之间动态迁移虚拟机。如果公共的和专有的主机在一个集群中是共享的，一个DRS事件就可以根据资源的需求把一个专用的虚拟机迁移到公共主机服务器，从而取消了任何资源区分的好处。

分享按钮