虚拟企业服务器

在私有云中将有高度数据安全要求的服务器虚拟化我们的高度可信区(HTZ)架构和设计构成了我们虚拟化服务器环境的最可靠的实例.
概要为了应对把有需要高度数据安全的服务器虚拟化的挑战,英特尔IT部门创建了一种我们称为高度可信区(HTZ)的架构.
我们对风险进行识别和分类,开发控件以消除或显著缓解虚拟化这些服务器和将它们的机密信息和应用迁移至私有云的风险.
我们计划在2012年底完成把75%的办公和企业计算环境虚拟化的目标.
英特尔IT部门已经针对在互联网上的应用开发了一种包含广泛信息安全功能的虚拟化托管环境.
1下一步,我们需要找到一种把需要高度数据安全的服务器虚拟化方法,以便消除虚拟化风险和提供一定程度的信息安全(类似于物理环境隔离所提供的安全程度).
结果,我们开发出HTZ架构和设计,后者构成我们服务器环境的最可靠的实例.
为了减轻已知风险造成的影响,HTZ使用了24种管理控件.
我们分三个阶段来实施这些控件,其中两个阶段已经完成.
第一个阶段,我们使用控件将虚拟化管理基础设施从正在虚拟化的服务器中隔离出来和保护用于管理虚拟化的帐户.
第二个IT@Intel白皮书英特尔IT部门IT最佳实践云计算和信息安全2012年1月EstebanGutierrez英特尔信息风险与安全事业部高级信息安全技术专家TobyKohlenberg英特尔信息风险与安全事业部高级信息安全技术专家SridharMahankali英特尔IT部门高级网络工程师BillSunderland英特尔IT部门虚拟化解决方案架构师阶段,我们构建了一些控件以实现广泛的安全监控(我们在此采取了一种整体方案,其中包含开发深层记录功能),并开发了一些解决方案以监控管理代理.
第三个阶段也是最后一个阶段,我们添加了包含各种主机和网络入侵检测功能的复杂网络监控能力.
我们已经开始在多个数据中心部署我们的HTZ架构和虚拟化流程.
我们的HTZ解决方案具有以下优势:充分利用虚拟化和云计算,改善需要高度机密数据安全的应用的敏捷程度和效率提供能够在互联网环境运作的应用控件,进一步降低环境风险和提高其敏捷程度和运行效率让我们准备好在未来充分利用公共云服务,为内部和对外提供的应用1请参阅标题为《克服信息安全的挑战,将互联网上运作的应用虚拟化》的IT@Intel白皮书.
英特尔公司,2011年11月IT@Intel白皮书将私有云中有高度数据安全需求的服务器虚拟化2www.
intel.
com/cn/ITIT@INTELIT@Intel计划将全球各地的IT专业人员及我们机构中的IT同仁紧密联系在一起,共同分享经验教训、方法和战略.
我们的目标十分简单:分享英特尔IT部门最佳实践,获得业务价值并实现IT竞争优势.
如欲了解更多信息,请访问:www.
intel.
com/cn/IT或联系您当地的英特尔代表.
目录概要.
1业务挑战.
2英特尔IT部门的云计算战略.
2信息安全:微妙的平衡.
3创建可信区.
3解决方案.
3虚拟化安全风险评估和控制.
4HTZ架构实施.
4重要成果.
7总结经验.
8结论和下一步计划.
8缩略语.
8业务挑战英特尔IT部门运营着一个分布全球的计算环境,包括约90,000台服务器,为超过90,000名英特尔员工提供支持.
约20%的服务器用于为英特尔员工、客户和合作伙伴提供广泛的服务.
我们的办公与企业计算环境包括在线协作、电子邮件和日历服务等应用,以及企业资源规划软件等大型企业应用.
这些办公和企业服务器中约有10%被认为具备高数据安全,具有以下共同特征:主机数据的保密等级高于"英特尔机密".
英特尔机密数据需要签订保密协议才能查看运行直接影响英特尔在设计、装运、订购/预订、构建、支付、关闭、网络或通信等方面能力的第一层关键业务应用提供身份验证服务、加密服务或其它因虚拟化而会造成大幅度增加风险的功能尽管我们的当前计算环境能够满足英特尔目前的需求,但随着业务的快速发展,我们需要对不断变化的业务需求作出更敏捷的响应.
同时,英特尔IT部门亦必须继续进一步降低成本.
传统的企业计算方法限制了我们提升业务敏捷和降低成本的能力.
例如,传统的企业计算将服务器专用于运行特定应用.
每台服务器均有一定的超度配置以支持应用增长和需求激增.
这造成物理服务器的利用率低下,并限制快速供应新服务器容量的能力.
此外,传统方案需要手动收集配置、购买历史和其它信息,因而增加了在IT计划中容量规划的复杂程度.
鉴于以上原因,英特尔正在迁移到一种全新的基于云计算的企业架构,帮助实现我们的敏捷程度和效率目标,帮助我们为各业务部门–我们的客户–提供更佳服务.
目前,英特尔IT部门已经实现了超过63%的办公和企业应用的虚拟化.
为了实现我们75%的环境虚拟化目标,我们制定了足够高度的安全级别,以便能更有信心地对那些在机密数据安全方面有最高度要求的系统实施虚拟化.
为了应对这项挑战,我们创建了一种称为高度可信区(HTZ)的架构来处理特定的预计风险.
这一架构的控件能够为系统的安全虚拟化缓解风险至可以接受的水平.
英特尔IT部门的云计算战略我们的战略是采取从内到外的方式发展云计算.
我们正在为办公和企业计算构建的私有云基于高度虚拟化、高度节能和高度灵活的环境.
这方法能够提供与公共云一样的许多优势,但是不会带来与在英特尔环境之外托管机密应用和数据相关的风险.
到目前为止,其敏捷程度和资源利用率的提高已经帮助我们净节省900万美元.
我们预计我们的私有云有助于为所有应用实现更高级别的信息安全和可靠程度,而且无需借助昂贵的专用硬件和软件.
这一将私有云中有高度数据安全需求的服务器虚拟化IT@Intel白皮书www.
intel.
com/cn/IT3切得益于众多高度可用的功能,例如自动化虚拟机(VM)重启和诸如机器校验架构恢复(MCA恢复)等关键业务特性.
MCA恢复功能能够提供自动检测,隔离多种类型的错误并从这些错误中恢复系统.
实施私有云将有助于我们充分利用由云技术提供的高效率.
随着标准的日益成熟,以及公用云的数据安全提高和成本下降,我们根据使用案例设想混合使用公共云和私有云.
目前,对于没有高机密要求的应用,我们则取公共云服务有限的优势.
例如,我们使用了多个来自云供应商的软件即服务(SaaS)应用,其中包括费用报销和时间卡工具、健康福利应用和社会媒体应用.
信息安全:微妙的平衡信息安全是业务需求和风险之间的一种平衡.
我们在开发和实施云战略时,英特尔数据和应用的安全始终是关注重点.
不论公司的知识产权和个人信息的数据位于何处以及如何被使用,我们仍必须维持其安全和完整该.
随着虚拟化的使用,私有云和公共云在资源隔离、数据安全事件管理和数据保护等领域引发了新的信息安全挑战.
在一个非虚拟化环境中,物理基础设施提供的隔离被认为对应用和数据保护进行了一定程度的保护.
然而,在利用虚拟化将多台服务器整合到单个主机时,我们放弃了两台服务器之间的物理隔离,从而加大了危害可能从一台虚拟机扩散到同一台物理主机上的其它虚拟机的风险.
此外,若虚拟软件的管理程序被攻击危害,可能会导致所有托管的虚拟机(VM)以及共享的物理资源(例如存储应用数据和代码的硬盘驱动器)都被波及.
我们能够构建控件来缓解许多这类风险,但是这需要确定每种所需安全等级的极限.
随着我们越来越多地使用基于虚拟化的共享多租户环境,我们预计各业务部门将需要基于数据分类和任务关键性的差异化安全策略.
此外,我们的客户将希望更多地了解云中的安全数据流以及特定业务安全策略的实施情况.
信息安全的重点领域包括数据加密和隔离、VM隔离、安全的VM迁移、虚拟化网络隔离、安全事件和访问监控,业务或作伙伴或客户能够访问的外部应用尤其需要关注,因为它们面临更大的威胁.
创建可信区我们针对云计算和虚拟化,在2010年始动了一个为期五年的计划,把我们的信息安全架构彻底重新设计.
2我们假设有可能无法避免受到某些攻击危害.
我们的新模式大大提高了灵活度,并且注重快速检测攻击以及系统的耐受程度.
具体而言,它采用的可信区能够提供相较于传统企业安全模式更加灵活、动态和精细的控制.
在2011年,我们在实施该架构的过程中取得了重大进展,该架构基于四大基础:信任计算.
动态确定是否允许每个用户访问特定资源以及提供何种访问权限.
信任计算基于若干因素,包括用户的客户端设备和所处位置、要求的资源类型、可用的安全控制等用户和数据边界.
除了提供企业网络边界所需的保护之外,还将用户和数据视作需要保护的其它安全边界平衡的控制.
在检测和纠正控制之间取得平衡,提高灵活度,增强恢复能力,并同时对预防控件(例如防火墙)作增补安全区域.
根据数据和访问控制的机密要求将我们的环境划分为若干区域,对每个区域进行控制和监控,防止一个区域的危害扩散到其它区域解决方案针对我们的高数据安全、的机密系统,我们创建了HTZ虚拟环境,后者是我们的虚拟化服务器环境最高可信度的实例(请参见图1).
我们发现了有益于虚拟化的特定类型应用,将其置于该环境中.
从风险的角度看,只要存在特定的减轻和控制,就有可能将风险维持在可以接受的级别.
2有关英特尔的新安全架构请参考"重审信息安全使业务更敏捷灵活".
英特尔公司,2011年1月.
IT@Intel白皮书将私有云中有高度数据安全需求的服务器虚拟化4www.
intel.
com/cn/IT我们的数据高度机密的应用示例具有以下特点:包含高度机密的数据执行其余环境的管理或安全功能对业务至关重要受法规遵从控制我们以完全隔离的方式进行虚拟化和不计划虚拟化的一小部分应用不包括在内,因为残余风险仍然高得令人难以接受.
这些应用包括我们不能为之冒内存暴露或虚拟机被盗风险的应用.
隔离式虚拟化的一个例子是使用单个应用或应用的某个部分的专用虚拟化环境.
专用环境由于共享租户和管理,能够降低风险.
对区域(例如我们的HTZ)的访问由信任计算结果决定,由策略执行点(PEP)控制.
PEP控制区域之间的通信,可能包括一系列的控制选项,如防火墙、应用代理、入侵检测与防御系统、身份验证系统和日志系统.
区域间的通信受到严格的限制、监视和控制.
为了将这些区域分隔开来,我们将它们置于不同的物理局域网(LAN)或虚拟局域网,并针对不同的区域使用不同的管理系统.
虚拟化安全风险评估和控制英特尔数据中心工程设计部和英特尔安全部紧密合作,对于把数据机密型应用(包括一级应用、业务关键应用、限制级机密应用和绝密应用)虚拟化的特定有形风险进行评估.
我们发现了41种风险,并按照其影响对它们进行排名:低、中或高.
在概括了风险和相关的可能影响之后,我们发现了能够将这些风险降低到可接受的等级以允许虚拟化的控件.
借助内部风险分析流程和对行业机构(包括云安全联盟*(CSA)、国家标准与技术研究院(NIST)和供应商)的调查,我们总共发现了24种控件,它们可分为四大类别:九种管理控件,如专用的HTZ系统管理员帐户和多因素身份验证六种应用控件,其中包括应用就绪程度检查,后者用于检查从来自HTZ外部的访问重叠可能性到安全强化能力(安全开发生命周期实践、身份验证、授权和登录等等)等一切五种监控控件,其中包括连续监控HTZ虚拟基础设施、网络、虚拟机和应用上的异常事件或攻击四种网络控件,如冗余交换机和网络入侵检测系统(NIDS)传感器HTZ架构实施我们采取了分为三个阶段的方案来实施我们的HTZ架构和其所需的控件.
第一阶段:保护虚拟化管理基础设施我们采取的第一个步骤是通过以下途径保护虚拟化管理基础设施:将虚拟化基础设施从正在进行虚拟化的服务器中隔离开来,保护用于控制虚拟化的帐户,保护将要迁移到HTZ架构的应用和强化用于管理虚拟化的操作系统(OS)和平台.
图1.
英特尔IT部门的高度可信区(HTZ)架构为运行虚拟化服务器(将支持我们的高度数据安全、机密的系统)的主机创建了单独的登录区.
高度可信区内部域服务器控制台子网存储存储所有主机看到一个共享的逻辑单元号(LUN)部署服务器构建子网中央管理虚拟基础设施客户端终端服务器英特尔内网管理访问HTZ—高度可信区;SIEM—安全信息和事件管理HTZ登录区(构建/物理到虚拟)物理主机,物理到虚拟转换器,服务器虚拟机数据中心公用管理登录区物理主机、登录服务器虚拟机、堡垒主机虚拟机、SIEM虚拟机、HTZ虚拟服务器机器、安全虚拟机将私有云中有高度数据安全需求的服务器虚拟化IT@Intel白皮书www.
intel.
com/cn/IT5"强化操作系统"这一过程涉及到为每个操作系统配置所需特性和删除不必要的特性或应用.
第一个步骤包含实施24个控件中的前14个.
隔离虚拟化基础设施环境中的大量虚拟化服务器(包括登录服务器和终端服务器)支持管理.
为了确保客户的虚拟服务器不会影响到这些服务器,我们对运行企业级虚拟化产品的单独集群主机中的管理虚拟化服务器进行了维护.
我们将这一隔离式保护扩展到环境中的所有领域,包括管理服务器(如终端服务器)上的管理和服务帐户、网络架构和操作系统配置.
我们还通过各种物理和逻辑分离方式将实时迁移、上线系统和备份流量互相分割开来.
通过使用类似于物理环境的方法,我们使虚拟化主机集中在单独的登录区,以便在更大的HTZ之内维护逻辑和物理隔离.
当管理基础设施包含虚拟化服务器时,我们为专用于运行这些虚拟化服务器的主机创建了单独的登录区.
所有客户虚拟机均无法在此登录区运行.
此外,我们尽可能地将诸如子网和专用虚拟局域网(PVLAN)等资源专用于这些虚拟机.
尽管这一解决方案的信息安全更高,但同时它的成本也更高,因为它将两台标准的管理程序主机专用于支持相当少的虚拟机和虚拟设备.
不过,这一解决方案有助于在管理环境和客户环境之间隔离功能.
我们进一步强化了这些管理虚拟服务器,以确保访问受到限制,只允许通过这些管理虚拟服务器来访问主机的管理程序.
例如,明确拒绝管理程序主机上的直接根或管理访问,对用户帐户的数量进行限制和经常检查.
保护用于控制虚拟化的帐户为了明确区分职责,我们为个人和支持部门确定了特定的角色.
默认情况下,在大型企业(如英特尔)里,众多支持人员可能能够访问管理服务器.
我们对支持角色、权限以及对在虚拟化环境方面接受过充分培训的人员的接触进行了仔细的限制,这一点非常重要.
例如,随着虚拟机在集群中的各主机中动态移动,在集群中的主机间引入的任何配置不一致性可能导致多用户停机.
如果托管的虚拟机中存在需要遵守《萨班斯奥克斯利法案》的虚拟机,以上事件还可能导致耗时的《萨班斯奥克斯利法案》(SOX)审核.
许多企业针对服务、产品或基础设施设立了一级、二级和三级支持.
每个确定的支持角色对于他们的预期任务必须具备必要的权限.
对于HTZ,我们进一步采取了这一步骤,对员工不能执行的任务的权限进行了限制.
与内置角色相比,确定自定义角色难度更大,因为在许多情况下,有关管理软件的权限相关性的资料相对缺乏,而且对于需要迅速解决的事故,上报途径必须明确定义.
保护将要迁移到HTZ架构的应用要将应用顺利迁移到一个安全的区域,首先需要为应用开发和测试、应用审核流程和选择应用安全测试,在预上线系统上构建虚拟化环境.
我们的预上线系统和上线系统环境能够提供以下功能:对开发、测试和质量保证以及上线系统的虚拟机进行隔离轻松地隔离环境中的服务等级协议(SLA)根据问题和事故所在的环境,更好的区分基础设施问题或虚拟机性能事故的响应时间和修复时间我们对于应用安全测试的目标是成功地将现有策略从物理领域引入虚拟领域.
尽管在进行虚拟化时更改业经证明的安全实践通常没有理由,但是也存在例外.
例外之一可能是允许直接访问虚拟机控制台,而非通过远程桌面技术来访问.
直接访问控制台需要允许通过一种方式提供对虚拟基础设施或至少其中的一部分的访问,并控制相关的风险.
它还需要管理虚拟机级而非基础设施级的权限.
在具有众多虚拟服务器的大型企业,这一工作会很繁琐.
应用风险就绪程度检查所有HTZ架构中的应用和系统都需要进行风险就绪程度检查.
这一检查流程确保了位于该环境中的应用不会给多租户环境增加额外的风险,或从本质上改变我们对HTZ环境的信任.
这一检查流程的另一个优势是提供重新检查传统应用运行数据安全的机会,确保实施当前的最佳实践.
风险就绪程度检查包括以下措施:消除来自HTZ外部的访问重叠评估网络架构,确定防火墙规则和发现所需的修改,包括代理和堡垒主机.
堡垒主机是网络上的一种专用电脑,专为抵抗攻击而设计和配置评估应用架构,包括安全开发生命周期(SDL)实践、身份验证、授权和登录评估系统的数据安全,包括登录、访问控制和管理限制等等IT@Intel白皮书将私有云中有高度数据安全需求的服务器虚拟化6www.
intel.
com/cn/IT第二阶段:广泛的安全监控尽管性能和事件监控对于维持稳定的基础设施非常重要,但是对安全事件的监控同等重要(请参见图2).
我们必须能够检测出帐户使用、虚拟机、管理程序和网络中的异常行为,并发出告警.
第二个阶段的重点是部署系统,以便提供集中化登录、日志事件监控、业务智能和告警,确保我们能够更加轻松地发现和调查异常事件.
这些操作的一个重要补充是对应用层进行强化,以确保应用本身的数据安全.
在第二个阶段,我们又实施了5个控件,总共使用了24个控件中的19个.
实施集中化登录集中登录能够为支持人员提供单个搜索位置对问题和问题发生之前的事件进行故障排除.
它还能够提供单个位置来检查和阻止异常或有问题的访问事件以及可能表示正常的访问渠道被破解的事件(如果这些事件能被发现).
集中化登录并不一定意味着登录位置仅有一个.
它也可能意味着由单个登录主机维护故障排除日期,同时由另一个登录主机来监控安全事件.
有许多产品能够根据模式匹配来监控日志和触发事件.
我们发现这些产品的最重要的特性是能够创建规则来触发告警.
尽管有些产品开箱即可支持虚拟化,但是复制实验室中的基础设施和尝试某种渗透性测试(至少是在安全网站上发现的某些常见的"脚本小子"攻击)仍然有必要.
这有助于发现用于触发事件的日志中的模式和调整触发器.
通过管理程序登录仅仅是监控环境的一个要素.
由于虚拟基础设施存在整体性,因此监控各个部分非常重要.
出于这个原因,我们收集了来自网络交换机、存储子系统、管理服务器甚至是虚拟机的日志来进行全面的监控.
我们还监控了各种管理代理,后者经常出现问题因为这些日志可能更难访问或包含的详细信息更少.
此外,由于并非基础设施的所有部分收集的日志具有同等的详细程度和准确程度,因此有时有必要往现有的管理计划中引入其它技术或特性以确保事件日志能够满足安全需求.
我们使用一种能够监控对管理服务器的代理访问的产品,以提供更广泛的登录功能.
该产品被证明在调查信息安全和其它事件(不管恶意与否)方面发挥了非常重要的作用.
进一步加强应用层同所有服务器一样,对于端点也需要保证其安全需求.
必须尽可能强化虚拟机并同时提供必要的功能,因为虚拟机最可能成为安全漏洞的路线.
我们对网络访问控制执行点进行了配置,例如,仅允许预期的应用流,防止通过不必要但开放的端口和协议进行恶意或意外的访问.
我们利用风险分析和管理来确定针对特定应用如何配置防火墙.
同时,还必须使用补丁管理和杀毒软件,并对其进行实时更新.
第三阶段:复杂的网络监控为了补充环境中的防御和保护能力,我们正在实施各种各样的网络攻击和入侵检测能力.
除了利用网络入侵监控能力来分析和监控出入HTZ环境的所有流量,我们还在发送适当告警后添加网络流量行为分析能力,以建立正常的流量模式和支持检测出异常活动.
这些工作将再添加五个控件,使总控件数达到24个.
身份与访问管理平台安全需求信息安全管理数据保护基础设施安全需求应用安全需求物理安全需求网络数据中心和设施服务存储和备份硬件管理程序SOFTWARESTACK操作系统软件堆栈应用更改/发布管理配置管理自我供应容量管理监控和诊断企业级控件软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(laaS)SaaSPaaSIaaS图2.
我们发现要确保云环境的数据安全,尤其时在保护队数据安全有高度要求的系统时,需要利用广泛的安全监控、精细识别和访问管理控件,采取一种复杂的整体方案.
将私有云中有高度数据安全需求的服务器虚拟化IT@Intel白皮书www.
intel.
com/cn/IT7为了进一步扩展我们的监控范围,我们在虚拟机上使用了基于主机的入侵防御系统(HIPS)和基于主机的入侵检测系统(HIDS)来支持广泛的监控范围.
为了减少可能浪费宝贵的IT时间的误检情况,我们对这些解决方案进行了调整.
我们期望HTZ架构中控件的演进是一个不断改进的过程.
我们通过内部协作和与供应商的合作来完成下列任务:将主机级入侵监控和防御解决方案迁移到管理程序级而非单独的虚拟机级,以提高资源效率与管理程序供应商合作,在管理程序中引入精细监控和告警能力在各种设备和应用日志中进行复杂的关联,以发现复杂的攻击模式和信号重要成果我们的HTZ架构已经支持我们对英特尔的某些数据有高度安全需求和极为机密的应用进行虚拟化,并将其迁移到我们的私有云.
在将应用从物理环境迁移到虚拟HTZ环境的过程中,我们借助各种控件(请参见图3和表1)慎重考虑了各种安全需求并使其正式化,同时还减轻了许多风险.
通过解决虚拟化关键业务应用的问题,我们期望能够完成对75%的办公和企业应用的虚拟化.
我们的重要成果包括:为虚拟化产品创建严格的需求识别各种虚拟化产品在特性方面的关键差别提供能够处理我们高价值系统的加强型虚拟化环境为应用创建严格的需求将应用顺利迁移到HTZ架构我们还取得了一些意外但同样有益的成果,其中包括:通过擦洗应用提高应用配置数据的准确性,发现合适的虚拟化环境通过加强登录HTZ必须满足的要求来提高应用的数据安全需求图3.
通过实施我们的高度可信区(HTZ)架构及其24个控件,我们已经成功地消除或大幅减轻了41中识别出来的风险所带来的影响.
风险(%)01020304050第3阶段第2阶段第1阶段控制之前实施高度可信区架构中等风险和中等影响高等风险和高等影响风险数量从27%下降到7%风险数量从44%下降到20%表1.
高度可信区(HTZ)架构风险和控制第1阶段第2阶段第3阶段虚拟化管理基础设施风险管理角色粒度和访问特权帐户隔离职责隔离基础设施访问受限应用安全风险对应用架构的安全开发生命周期(SDL)进行必要的更改,以便充分利用虚拟化优势,如可移植性和灵活性应用风险就绪程度检查虚拟化管理软件及其相关性的代码审核加强型安全登录和监控操作风险对虚拟机(VM)映像的控制和保护利用部署在虚拟设备正在积极保护的管理程序上的兼容虚拟设备,加强对虚拟化管理和基础设施的监控共享的基础设施隔离,例如存储精细的网络监控虚拟机间和主机内的流量监控和控制网络行为分析和异常检测虚拟化即技术总体项目重点管理程序完整性—所有控件协同工作以解决安全漏洞总结经验尽管这项工作尚在进行中,但是我们已经开始收集在实施HTZ架构的过程中获得的某些经验.
从总体上了解风险和漏洞非常重要.
要确保云环境的数据安全,尤其时在保护对数据安全有高度要求的系统时,需要利用广泛的安全监控、精细识别和访问管理控件,采取一种复杂的方案.
虚拟化技术尚不成熟.
因此,补充性工具和控件非常重要,而且对待管理程序必须像对待操作系统一样,并为其提供同等程度的保护.
向对待操作系统一样对待管理程序.
管理程序是另一个必须监控和保护的操作系统这一观念尚需在行业中进行宣传.
因此,我们被迫创建临时控件来保护管理程序和在其它地方实施极端得多的控件来降低管理程序被危害的几率.
需要精细的管理员控件.
需要确定自定义角色而非内置角色,以确保对于特定人员不能执行的任务,其权限受限.
需要更加精细的记录和监控.
因为虚拟基础设施具有整体性且包含众多部分,因此监控各种管理代理非常重要.
我们发现,要全面了解存在的问题,有必要收集来自网络交换机、存储子系统和管理服务器的日志.
结论和下一步计划我们设计了和正在部署一种环境,旨在满足我们虚拟化企业私有云内的高度信息安全和关键业务应用的需求.
借助三步方案,我们首先利用控件将虚拟化管理基础设施从正在虚拟化的服务器中分离出来和保护用于管理虚拟化的帐户.
第一个阶段,我们还强化了操作系统和平台,保护了我们计划迁移的应用的安全.
第二个阶段,我们为实现广泛的安全监控构建了控件,采取了一种整体方案,其中包含开发深入记录能力和监控管理代理.
最后一个阶段,我们添加了包含各种网络攻击和入侵检测功能的复杂网络监控能力.
目前,我们正在试用包含第一、二个阶段控件的上线系统级应用.
我们期望在2012年的第一个季度完成第三个阶段的设计工作.
鉴于时间较长(18个月),我们正在采取"风险管理"方法,尽快采用该环境,一方面部署所有控件,一方面挑选风险承受能力更高的应用,和帮助应用负责人决定他们是否参加部署.
我们的计划包括在多个数据中心部署HTZ架构和将应用迁移到该架构.
并预计在2012年将所有有高度数据安全要求而又合适的应用的完成虚拟化,实现我们完成75%的办公和企业环境虚拟化的目标.
如欲了解有关英特尔IT部门最佳实践的更多信息,请访问:www.
intel.
com/cn/it这一私有云解决方案将支持英特尔IT部门实现其敏捷性和效率目标,为各业务部门提供更高水准的服务.
缩略语CSA云安全联盟HIPS基于主机的入侵防御系统HIDS基于主机的入侵检测系统HTZ高度可信区IaaS基础设施即服务LAN局域网LUN逻辑单元号MCA机器校验架构Recovery恢复NIDS网络入侵检测系统NIST国家标准与技术研究院OS操作系统PaaS平台即服务PEP策略执行点PVLAN专用虚拟LANQA质量保证SaaS软件即服务SDL安全开发周期SIEM安全信息和事件管理SLA服务等级协议SOX《萨班斯—奥克斯利法案》vLAN虚拟局域网VM虚拟机本白皮书仅用于参考目的.
本文以"概不保证"的方式提供,英特尔不做任何形式的保证,包括对适销性、不侵权性,以及适用于特定用途的担保,或任何由建议、规范或范例所产生的任何其它担保.
英特尔不承担因使用本规范相关信息所产生的任何责任,包括对侵犯任何专利、版权或其它知识产权的责任.
本文不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权.
英特尔和Intel标识是英特尔公司在美国和其他国家(地区)的商标.
*文中涉及的其它名称及商标属于各自所有者资产.
版权所有2012英特尔公司.
所有权利受到保护.
请注意环保0112/ER/KC/PDF326191-001CN