Bài Trước chúng ta đã cùng tìm hiểu về những mối đe dọa vấn đề máy chủ, Ở trong phần 2 này chúng tôi tiếp tục giúp các bạn tìm hiều thêm về những mối nguy hiểm về vấn đề máy chủ. Sau đây chúng ta cùng tìm hiểu tiếp nhé.
Xem cách bạn lưu trữ dự phòng
Một số doanh nghiệp có hệ thống lưu trữ dự phòng trên SAN ngày nay, Wolf nói. Nó là một điều không thể để thực hiện toàn bộ vấn đề lưu trữ quá nhiều, anh ta nói.
Nếu bạn đang làm việc với VMotion, công cụ của VMware cho việc tạo linh động các máy ảo, bạn có thể gán một số lưu trữ khu vực trong SAN. Tuy nhiên bạn lại muốn làm chỉ định lưu trữ đó trở lên cốt lõi hơn. Hãy chờ đợi, N-port ID virtualization—một công nghệ cho phép CNTT có thể gán việc lưu trữ đối với một máy ảo – là một tùy chọn đáng đầu tư, Wolf khuyên như vậy
Bảo đảm những đoạn mạng được cách ly tốt trong toàn hệ thống
Khi doanh nghiệp đi vào vấn đề ảo hóa không nên bỏ qua những vấn đề rủi ro về lưu lượng mạng. Tuy nhiên một số những rủi ro này có thể tình cờ bị bỏ qua, đặc biệt nếu các lãnh đạo CNTT bận trong trong khi đang thực hiện kế hoạch ảo hóa. “Rất nhiều tổ chức sử dụng hiệu suất một cách đơn giản hóa như thể thức thực hiện hợp nhất”, Wolf nói. (Khi đánh giá xem máy chủ ứng dụng nào cùng được đặt như các máy ảo trên một máy vật lý thì nhóm CNTT cần tập trung đầu tiên về sự thiếu hụt hiệu suất như thế nào đối với các máy chủ ứng dụng khi bạn muốn tránh việc hỏi bất kỳ các máy vật lý nào phải chịu quá nhiều tải). “Họ quên vì những hạn chế về bảo mật trên lưu lượng mạng mà lẽ ra không nên đặt các VM đó cùng nhau”, Wolf nói như vậy. Ví dụ, một số CIO đang quyết định không cho phép bất kỳ máy chủ ảo nào trong DMZ (cũng được biết đến như một vùng không được dưới sự quản lý của một chính sách, một mạng con có các dịch vụ mở rộng đối với Internet, như các máy chủ thương mại điện tử, được bổ sung thêm bộ đệm giữa Net và LAN).
Nếu bạn có một số VM trong DMZ, có thể sẽ muốn chúng trên các đoạn mạng tách biệt về vật lý đối với một số hệ thống khác, Wolf nói. Còn Abbene nói: Tại Arch Coal, nhóm CNTT đã nghĩ về DMZ ngay từ những ngày đầu.
Họ đã triển khai các máy chủ ảo trên LAN bên trong nhưng không có chỗ nào công bố sự đối phó. “Đó là một chìa khóa đã được quyết định sớm”, Abbene nói, công ty có một số máy chủ FTP bảo mật và một số máy chủ khác đang thực hiện công việc thương mại điện tử mức nhẹ trong DMZ; tuy nhiên hiện chưa có kế hoạch đối với các máy ảo ở đây, ông ta nói thêm.
Quan tâm về Switch
Khi nào dùng Switch và khi nào không? “Một số các switch ảo thao tác giống như hub ngày nay: Mỗi cổng được phản chiếu đến tất cả các cổng khác còn lại trên switch ảo”, Wolf của Burton Group đã nói như vậy. Microsoft Virtual Server hiện đang có vấn đề này, Wolf nói. ESX Sserver của VMware thì không, và cũng không đối với cả Citrix XenServer. “Mọi người nghe về thuật ngữ ‘switch’ và nghĩ đến sự cách ly. Nó hoàn toàn khác nhau tuỳ vào từng hãng khác nhau”, Wolf nói. Microsoft đã nói rằng vấn đề switch sẽ được giải quyết trong sản phẩm phần mềm ảo hóa máy chủ Viridian sắp tới của họ, Wofl bổ sung thêm.
9. Kiểm tra các máy ảo “yếu”
Các máy chủ không chỉ là mối lo lắng của bạn. “Mối đe dọa lớn nhất là bên phía trình khách - các máy ảo yếu”, Wolf của Burton Group đã nói như vậy. Vậy máy ảo yếu là gì? Hãy nhớ rằng, người dùng của bạn có thể tải và sử dụng các chương trình miễn phí như VMware Player, trong khi đó chương trình này lại cho phép người dùng laptop và máy trạm đặt bàn có thể chạy bất kỳ máy ảo nào đã được tạo bởi VMware Workstation, Server hay ESX Server.
Nhiều người dùng hiện nay thích sử dụng các máy ảo trên máy trạm hoặc laptop để cách ly các vấn đề liên quan đến công việc của họ, hoặc các hành động liên quan đến gia đình. Một số người sử dụng VMware Player để chạy đa hệ điều hành trên một máy; sử dụng Linux như một hệ điều hành cơ sở nhưng lại tạo một máy ảo để chạy các ứng dụng Windows. (các nhóm CNTT cũng có thể sử dụng VM Player để đánh giá các thiết bị ảo - các sản phẩm phần mềm đang được phát hành cấu hình như một VM).
“Đôi khi, các máy ảo này không có được mức vá hợp lý”, Wofl nói vậy. “Các hệ thống này bị khai thác hướng tới mạng của bạn và hiện tất cả các hệ điều hành không được quản lý”.
“Có rất nhiều rủi ro mà bạn có thể sẽ gặp phải”, Wofl nói, nên lưu ý rằng các máy đang chạy máy ảo yếu có thể là một trung tâm phát tán virus hoặc worm đối với mạng vật lý. Ví dụ, ai đó rất dễ dàng trong việc đưa lên một máy chủ DHCP để phân phối các địa chỉ IP giả mạo. Đó thực sự là một tấn công từ chối dịch vụ DoS. Ít nhất, bạn cũng sẽ tốn tài nguyên CNTT vào việc thử kiểm tra vấn đề này. “Nó thậm chí có thể đơn giản trong lỗi của người dùng khi giới thiệu các dịch vụ với mạng sản xuất”.
Vậy cách ngăn chặn với các máy ảo này như thế nào? Bạn nên kiểm soát tất cả những người có VMware Workstation, nhất là với những người mới bắt đầu (vì cần phải tạo VM). Chuyên gia CNTT có thể sử dụng một chính sách nhóm để ngăn chặn các vấn đề thực thi nào đó như những vấn đề cần cài đặt VM player, Wolf nhấn mạnh thêm. Một số cách khác: Thẩm định định kỳ ổ cứng người dùng.
Vấn đề này đã trở thành điểm khác trong tranh luận giữa người dùng và CNTT chưa, nơi người dùng hiểu biết muốn sử dụng các máy ảo của họ làm việc giống như máy tính họ làm việc tại nhà? Câu trả lời ở đây là chưa, Wofl nói như vậy.
Nếu bạn muốn cho phép các máy ảo trên máy tính của người dùng, thì các công cụ như Lab Manager của VMware và một số công cụ quản lý khác có thể giúp kiểm soát và kiểm tra được các máy ảo này.
Nhớ đến thời gian lên kế hoạch ngân quỹ cho vấn để ảo hóa
“Hãy dành một ngân quỹ nhất định cho vấn đề bảo mật ảo hóa và quản lý nó. Bạn có thể không cần phải coi nó là ngân quỹ nằm ngoài ngân quỹ bảo mật của bạn, nhưng việc liệt kê và dành ngân quỹ được cho tất cả các vấn đề cần bảo mật là một điều cần thiết”, Elliott của IDC đã nói như vậy.
Thêm nữa bạn cũng cần phải thận trọng với những chi phí bảo mật khi thực hiện các tính toán ROI ảo hóa. “Bạn có thể sẽ không thấy được sự giảm tốn kém hơn trong bảo mật vì cần phải áp dụng một số công cụ bảo mật đang tồn tại của mình đối với mỗi VM mà bạn tạo”, Hoff đã nhắc nhở như vậy. Nếu bạn không đoán trước được những chi phí này thì nó trở thành một vấn đề to sau này.
Theo Gartner, đây cũng là lỗi thông thường mà chúng ta hay mắc phải. Có thể đến 2009, khoảng 90% các triển khai ảo hóa sẽ có những chi phí ngoài dự kiến, như chi phí bảo mật, theo phát biểu của phó chủ tịch Neil MacDonald, Gartner.
0 nhận xét:
Đăng nhận xét