首页 > 电脑教程/ 正文
在企业实际的虚拟化应用过程中,需要遵循如下一些有效的建议:
· 如果有的话,用户应该确认云平台供应商使用的虚拟化类型;
· 实施者应该考虑通过分区的方式将生产环境与测试/开发以及高度敏感数据/业务分离;
· 由于性能差异很大,实施者在测试和安装虚拟机安全工具时应该考虑性能问题。考虑具有虚拟化感知能力的服务器和网络安全工具也同样重要;
· 在虚拟化的环境中用户应该与主要的供应商评估、协商并且完善许可协议;
· 通过在每个访客实例中采用硬化软件或者具有基于Hypervisor的API的内嵌虚拟机,实施者应该保障每个虚拟化的操作系统的安全;
· 虚拟化的操作系统应该附加内置的安全措施,充分利用第三方安全技术实现分层的安全控制,减少对平台供应商的单纯依赖;
· 施者应该确保在默认配置下安全措施达到或者超过现行业界基准水平;
· 实施者应该对不在使用中的虚拟机镜像进行加密;
· 通过在分离的物理硬件诸如服务器,存储等设备上标识数据的应用(比如桌面vs.服务器),生产阶段(比如研发,生产,以及测试)和敏感度,实施者应该探寻对虚拟机的隔离和建立安全区的效果和可行性;
· 实施者应该确保安全漏洞评估工具和服务能覆盖到所采用的虚拟化技术;
· 实施者应该考虑在整个组织内采用数据自动发现和标签方案(比如DLP数据泄露保护),以此增加虚拟机和环境间的数据分类和控制;
· 实施者应该考虑对非工作状态的虚拟机镜像进行补丁操作或者对刚刚运行的虚拟机采取其它保护措施,直到他们被打上补丁;
· 实施者应该明白在虚拟机的外部采用何种合适的安全控制来保护面向用户的管理接口(例如基于Web或API的);
· 必须采用内嵌于Hypervisor API的虚拟机特定安全机制对虚拟机背板间的流量进行细粒度监控,(这些流量)对于传统的网络安全控制是不可见的;
· 为了应对虚拟化带来的新的安全挑战,实施者必须更新安全策略;
· 实施者必须通过基于策略的密钥服务器对虚拟机访问的数据进行加密,存储密钥的服务器与虚拟机和数据隔离;
· 用户必须意识到虚拟机处于多租户环境下,监管可能要求保证虚拟机的隔离;
· 用户必须验证来自任意第三方的虚拟机镜像或者模板的来源和完整性,或者更好的话建立自己的虚拟机实例;
· 虚拟化的操作系统必须包含防火墙(入口/出口)、主机入侵防御系统(HIPS)、网络入侵防御系统(NIPS)、web应用保护、防病毒、文件完整性检测以及日志检测等。安全对策可以通过每个访客虚拟实例或者具有基于Hypervisor的API的内嵌虚拟机中的软件来传递;对虚拟机个体实施适当的加固和保护包括防火墙(入站/出站),主机入侵防御系统(HIPS),网站应用层保护,防病毒,文件完整性监控和日志监控等都可透过软件向每个虚拟机客户提供,或利用内嵌的虚拟机与基于Hypervisor API协同提供;
· 提供商删除虚拟机镜像时必须清空所有的备份和失效备援(failover)系统;
· 提供商必须具备报告机制。如果有隔离被突破时,报告机制可以提供隔离的证据并发出告警。
- 上一篇:学习网络技术有什么方法及技巧
- 下一篇:软件开发过程一般有几个阶段
更多虚拟化产品安全防护建议相关文章
- 电脑学校:5大保养笔记本技巧
- 计算机TCPIP协议教程
- 电脑初学者教程之windows常见问题解决方法
- 学电脑要学历吗
- 全方位讲解交换机集群技术及连接方式
- 电脑上怎么安装微信
- 怎样成为黑客,需要学哪些计算机知识?
- 360提醒“您的IE主页未锁定,易篡改”是真是假
- 软件开发学习一般分几个阶段?
- 主机连接远程桌面蓝屏问题该怎么办?
- 两个容易被忽视的linux安全权限配置问题
- win7自动关机方法
- ADSL多用户共享设置方法
- 信道特性有哪些呢?
- 脉冲编码调制是什么
- 局域网技术概论
- 城域网有哪些特征
- 广域网是如何互连
- ICMP详细介绍
- 网络安全的基本概念
- 可信任系统是什么
- DNS服务器的配置教程
- Samba服务器的配置计算机教程
- 交换机和路由器计算机课程详解
- 网络分析与设计过程
- 网络结构设计
- 网络故障诊断
- 搜索
-
- 热门标签