如何DMZ設計改善云中虛擬機安全？

作者：Greg Shields 2011-07-27 09:59:14

云計算

虛擬化 或許您已了解P2V和V2V轉(zhuǎn)化，但是把虛擬機遷移到云還依然是新領域——尤其是安全相關部分。通過獨立的DMZ設計，您可以實現(xiàn)云內(nèi)的虛擬機安全。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,長豐企業(yè)網(wǎng)站建設,長豐品牌網(wǎng)站建設,網(wǎng)站定制,長豐網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,長豐網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

　　或許您已了解P2V和V2V轉(zhuǎn)化，但是把虛擬機遷移到云還依然是新領域——尤其是安全相關部分。通過獨立的DMZ設計，您可以實現(xiàn)云內(nèi)的虛擬機安全。

　　V2C的轉(zhuǎn)化把虛擬機轉(zhuǎn)化為可以在云內(nèi)進行管理的模式。如果把虛擬機寄宿在獨立設計的DMZ(demilitarized zone)域中，可以極大提高云安全性。在我解釋DMZ如何影響虛擬機之前，先來討論一下DMZ的虛擬化起源。

　　DMZ的設計和V2C：創(chuàng)建邊界

　　DMZ存在于內(nèi)部局域網(wǎng)之外，把需要對外共享的資源跟內(nèi)網(wǎng)被保護數(shù)據(jù)隔離，實現(xiàn)對以太網(wǎng)不良信息的過濾。這種隔離使得數(shù)據(jù)進出DMZ域變得困難，尤其是在創(chuàng)建和保護到內(nèi)部資源的連接方面。

　　同時，DMZ隔離的方式對于云內(nèi)的虛擬機提供了更易于保護的邊界，極大提高虛擬機安全性。獨立的DMZ域就像這些虛擬機之外的一個保護殼一樣。

　　通過DMZ設計改善虛擬機安全

　　有了隔離的DMZ設計，寄宿在云內(nèi)的虛擬機就和傳統(tǒng)的虛擬架構下一樣安全。甚至當虛擬機轉(zhuǎn)化為云模式后，DMZ內(nèi)的虛擬機所需要的網(wǎng)絡訪問級別也和之前保持一致。云安全也需要HTTP和HTTPS連接，而且它們所需的保護方式也完全一致。

　　為保障虛擬機安全，那些外圍宿主機需要進行額外的網(wǎng)絡配置。通過這些配置可以讓虛擬機連接到局域網(wǎng)內(nèi)部的資源，如數(shù)據(jù)庫或應用服務器。

　　一些云供應商提供了基于硬件或軟件的防火墻，可以嚴格管控云虛擬機和周邊IP終端設備之間的數(shù)據(jù)流。進一步保護可以使用基于LAN的防火墻或反向代理服務器的方案。更高級的虛擬機安全，防火墻軟件可以內(nèi)置到虛擬機操作系統(tǒng)中，從而在云供應商和虛擬化平臺之外提供額外的保護層。

　　如果性能需求允許，您還可以在采用虛擬主機的同時，把數(shù)據(jù)留在LAN之內(nèi)。經(jīng)過這樣的安全配置，攻擊者進入Web服務器后獲得的信息很少，還需要進一步破解才能訪問到內(nèi)部數(shù)據(jù)。

　　把虛擬機放到云里是由這種業(yè)務模式的收益所推動的，而不是技術本身。這些優(yōu)勢我們或許都曾經(jīng)聽過：提高資源利用率、快速甚至是完全自動化的服務器和服務擴展、對基礎架構實現(xiàn)商品化的定價提供規(guī)模經(jīng)濟效益。把虛擬機放到隔離的同時又可以聯(lián)網(wǎng)訪問的DMZ域內(nèi)的設計方法，是在低風險的前提下實現(xiàn)虛擬主機收益的第一步，同時也推動了云的虛擬機安全。

本文標題：如何DMZ設計改善云中虛擬機安全？
標題鏈接：http://www.dlmjj.cn/article/dphcges.html