辽宁省&大连市分行虚拟化平台安全防护经验分享
当前虚拟化、云计算及移动互联网的快速发展改变着信息化的环境,同时也带来了更为复杂的安全问题。安全防护是基于边界防护,然而在云计算中心虚拟化后,边界变模糊了,管理目标和工作范围大幅延伸,管理任务和方式科技含量逐渐加大。即虽然虚拟化平台相比于物理服务器,在设备搭建与系统运维方面的优势是很明显的,但同时也存在了新的风险隐患课题。
I/O阻塞风险。传统的系统维护中,都采用默认的计划任务进行补丁更新和病毒扫描。引入虚拟化平台后,如果仍然按照传统的默认设置进行补丁更新和病毒扫描,则极有可能引发系统的I/O阻塞,因为同一虚拟化平台上的所有虚拟服务器会同时进行相同的操作,尤其是在杀毒软件进行病毒扫描时,多个虚拟服务器同时在虚拟化平台的公共存储上并发I/O操作,可能会导致关键应用的卡顿。
结合我行虚拟化平台部署实施的经验,保障安全的具体措施有:
(一)选择合适的主机硬件在选择银行的主机时,必须购买支持虚拟化的主机产品,主机的资源应满足运行在其上的虚拟机的操作系统和应用程序所需资源之和,同时还要考虑集群管理时迁移到该主机的负载所需资源。
(二)建立隔离分区,细化网络设置在虚拟环境中,隔离虚拟网络既可以按照位置分开虚拟机,即把公共的虚拟机与专用的虚拟机分开,也可以按照服务类型分开虚拟机,如把系统管理类虚拟服务器、应用程序类虚拟服务器和数据库虚拟服务器分开。以最大限度地降低数据通过网络从一个虚拟机分区影响到另一个虚拟机分区的风险。
(三)制定合适的补丁更新和病毒扫描方案制定虚拟机补丁更新的规范流程,除了要求解决正在运行的虚拟机的补丁状态问题外,还应要求虚拟机管理员按期检查关闭的虚拟机的补丁状态,同时定期更新虚拟机模板,保证用来创建新虚拟机的镜像模板内安装的软件版本和补丁是最新的。
另外如果多个扫描计划重叠执行,就会因占用过多系统资源而严重影响应用系统的运行效率。病毒扫描任务结合应用系统本身和业务的具体情况,以及系统与其它系统之间的关联性综合考虑制定。
(四)合理配置、加固系统、降低风险通过合理配置,终止和禁用不必要的服务,保持虚拟机操作系统的精简。同时采用RBAC(Role Based Access Control)模型的思想,定义系统管理员、监控用户、运维用户,各自独立完成日常工作。
辽宁省&大连市分行积极采取新技术新思维,在保障和提升各个虚拟机系统业务连续性要求的前提下,极大降低了用电、空间、硬件等IT基础设施资源和运维成本,同时也大大提高了系统部署效率,保证全辖基础环境平稳运行。
供稿|辽宁省&大连市分行信息科技部
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
