Виртуализация серверов и возможные риски
Виртуализация сервера – краеугольный камень облачных технологий. Возможности разворачивания на одном физическом сервере множества виртуальных, которые обеспечивают работу любой операционной системы, дает большие преимущества.
В своем блоге Петер ван Эйк, консультант по вопросам облачных технологий из Нидерландов, описывает риски, связанные с разворачиванием виртуальных серверов и дает рекомендации по их устранению.
Виртуализация сервера – краеугольный камень облачных технологий. Возможности разворачивания на одном физическом сервере множества виртуальных, которые обеспечивают работу любой операционной системы, дает большие преимущества.
Виртуализация позволяет использовать меньшее число физических серверов, что заметно снижает затраты. При этом можно проводить более гибко оценку таких компьютерных ресурсов, как ЦПУ (центральное процессорное устройство) и память, что обычно ускоряет процесс разработки. Виртуализация может даже повысить уровень безопасности ИТ, т.к. на виртуальных машинах проще установить правила доступа к сети.
Преимущества, однако, влекут за собой определенные риски.
Для начала обозначим некоторые понятия. Хост – это устройство, на котором работает гипервизор – платформа виртуализации. На гипервизоре развернуты виртуальные машины, на каждой из которых установлена своя операционная система.
«Плоскость управления» – веб-консоль, обеспечивающая удаленное управление гипервизорами. Управлять ими удаленно гораздо проще, чем ходить пешком до серверов. Это также дает неплохие возможности хакерам. Поэтому не будет лишним контролировать к ней доступ: наладить двухфакторную аутентификацию, права доступа выдавать только отдельным администраторам.
Часто вспоминают о таком нюансе виртуализации, как установка гостевой операционной системы. При такой схеме одна виртуальная машина может иметь доступ к соседней. Такое может произойти в случае дефектов гипервизора или небезопасных подключений к сети на хост-машине. Гипервизоры чаще всего построены на сокращенной версии Linux, а любое «узкое место» Linux создает уязвимости для гипервизора. Однако если вы контролируете гипервизор, значит, можете управлять всей облачной системой. Вы должны быть уверены, что работаете с нужной версией гипервизора: знаете место производства, можете ее «пропатчить» и обновить.
Сеть при этом должна быть изолирована, чтобы гости не могли видеть ни исходящий трафик соседей, ни входящий трафик хоста.
Объективным риском виртуализации сервера является то, что гости могут превышать лимит использования физических ресурсов, тем самым создавая неудобства своим соседям. Чтобы этого не происходило, нужно принимать соответствующие меры. Для гипервизора можно настроить ограничения на использование ресурсов. Но тогда нужно будет придумать, как избежать слишком большого числа гостей на одном хосте. Баланса достичь непросто: мало гостей – небольшая выручка, много – проблемы с производительностью.
В мире существует множество идентичных виртуальных серверов. Они работают по одному и тому же «образу», и каждый виртуальный сервер - экземпляр образа.
С помощью виртуальных серверов проще клонировать, копировать, тиражировать, запускать и останавливать образы. В этом есть свои преимущества, но и риски присутствуют: возможен бесконтрольный рост экземпляров серверных образов, которые нужно где-то хранить. Могут возникнуть сложности управления ими, что создает дополнительные риски для безопасности. Например, вы не можете знать наверняка, что рестартованный спустя долгое время экземпляр соответствует современным требованиям и достаточно пропатчен. Известны случаи, когда образы «ловили» хакерские руткиты.
Таким образом, наименьшее, что можно сделать, - это установить защиту от вредоносных программ, вирусов и обеспечить контроль версий образов, которые временно не используются. Даже при работе с публичным IaaS-провайдером необходимо устанавливать патчи на гостевые образы.
Виртуализация серверов дает ИТ-профессионалам новые возможности. Вместе с ними приходит и больший уровень ответственности.
Перевод: Злата Заболотских.
Источник: ITProPortal.com
Комментарии 0