在数据中心中实施虚拟化将带来新的安全性挑战,从虚拟机蔓延问题到管理程序漏洞不尽相同。但是,虚拟化还能够通过配置管理和补丁程序升级的方式提供一些令人惊讶的安全性和合规性好处。有几个工具在虚拟化环境中可以简化配置管理流程和补丁程序升级。
管理程序的配置管理流程
需关注的第一个方面是管理程序平台本身。VMware本来就具有内置在vSphere中被称为Host Profiles的颗粒配置管理功能,它可用于开发ESX和EXSi管理程序服务器的模板。管理员们可以在vCenter控制台内配置一个ESX或ESXi的安全构建,还可实现预留内存、网络控制以及本地安全设置等功能。一旦定义了安全构建,就可使用Host Profiles扫描其他的系统,并与这个“黄金标准”进行比较,从而生成对审核者有帮助的合规性报告。Host Profiles还可用于实现管理程序配置匹配标准的自动化,从而大大简化了虚拟化管理员们更多费时任务之一。
但是,使用Host Profiles有两个重要的附加说明。首先,Host Profiles只能配置ESX和ESXi的最新版本,它不支持目前众多企业仍然使用的ESX和ESXi 3.x版的配置。其次,为了确实配置服务器,它们必须被置于“维护模式”,这就意味着应用变更时在那个系统上的所有虚拟机都将迁移至其他主机。这可能是一个重要的操作,并需在定义的变更窗口内进行相关计划。
虚拟机的配置管理流程
对于大多数的组织来说,他们都花费了相当数量的时间和精力用于虚拟机的补丁程序升级和配置。幸运的是,包括VMware vSphere、微软Hyper-V以及Citrix Xen在内的所有主流虚拟化平台都提供了某种形式的虚拟机模板创建和部署能力。在VMware vSphere中,可使用一个非引导主镜像模板来配置新虚拟机。有三种不同的创建模板方法:
1.“转换现有虚拟机”涉及一个现有虚拟机,并将其转换为非引导主镜像的操作。
2.“克隆虚拟机至模板”涉及一个现有的虚拟机,但将使用的虚拟机副本作为非引导主镜像。
3.“克隆现有模板”指复制现有的模板镜像。
所有这些操作都可以进行日志记录,所以当查看创建或克隆的模板日志时,安全和审核团队可以进行跟踪。
一旦你有了一个创建的模板,你可以使用该模板进行三项操作:
1.“克隆模板”可以允许你制作模板副本。请注意,模板可进行热克隆或冷克隆,意即当虚拟机启动运行时(热)或关闭(冷)时可执行克隆操作。
2.“转换至虚拟机”可用于更新补丁程序模板。一个模板必须转换为虚拟机,虚拟机设置可改变,或者可打开虚拟机升级补丁程序,然后你就可以再次进行模板创建流程。
3.“从该模板部署虚拟机”是基于模板镜像用于部署标准化虚拟机的功能。
微软公司的系统中心虚拟机管理器(SCVMM)和Citrix XenCenter也有类似的模板创建和管理工具。
虚拟化补丁程序管理
补丁程序升级是另外一个可在虚拟环境中简化的关键操作。管理程序需要用于下载和安装补丁程序的专用工具,例如VMware vSphere 更新管理器(VUM)。对于虚拟机的补丁程序升级,可使用诸如Shavlik NetChk平台的VUM或商用补丁程序升级工具来为运行或脱机的虚拟机升级补丁程序,从而赋予管理员们更大的灵活性和粒度进行补丁程序升级工作的安排和部署。
另外,一些企业建立传统补丁程序升级平台和使用诸如微软公司Windows Server Update Services(WSUS)这样的工具,作为虚拟化环境中的专用虚拟机。此举通过对虚拟机使用专用补丁程序升级工具和允许更简单的分布式补丁程序升级提高了性能和整体补丁程序升级效率。
一个简单的配置和补丁程序管理流程使用模板和克隆,具体如下:
1.定义一个用于操作系统和应用程序的健全配置标准(使用供应商提供的指导、互联网安全中心或其他)。
2.创建符合配置标准的虚拟机实例,然后将其转换为模板。
3.使用VUM或其他补丁程序管理工具来为管理程序和虚拟机(在线或离线)升级补丁程序。确定对模板升级补丁程序,首先它通常需要将模板转换为虚拟机,然后在升级补丁程序后将它们转换回模板。
通过使用合适的工具和精心创建配置和升级虚拟系统的流程,管理员们可能会发现与补丁程序和配置管理相关的乏味任务少了几许难以承受之重。
热门专题
