VMware white paper
1) Security profile per compute profile
Administrators should communicate enterprise corporate security policy and server tier frewall rules that are defned
within a vApp to the service provider. This should include corporate server security patch levels, anti-virus status and
fle-level access restrictions. The VMware vCloud reference architecture provides a method to communicate the policies
and server tier frewall rules for the vApp.
2) Security DMZ for vApp
The service provider needs to validate the patch level and security level prior to bringing a vApp into the production
environment. The VMware vCloud reference architecture should include a DMZ area for validating the vApp and miti-
gating any security violations according to each enterprise’s security profle.
3) OS management
It is important to understand the security hardening performed around the service provider’s library of OSs and
patching policies. Administrators should update traditional security policies that govern the service provider’s hosting
environment to ensure that virtual machines are hardened and patched within the standard enterprise policies.
Administrators should update virtual machines that are not at the correct patch level to the correct patch level through
a DMZ, for example.
4) Resource management
The service provider needs to separate and isolate the resources each customer virtual machine uses from other cus-
tomers’ virtual machine resources to prevent DDoS attacks. These attacks are usually caused by log fles not having limits
or CPU or memory utilization increasing on a single virtual machine through memory leaks or poorly behaving applica-
tions.
5) Security profile per network
In addition to the vApp having a compute security profle, there should also be a network security profle to ensure
perimeter and Web access security. This includes functionality like switch and router Access Control Lists (ACLs), perim-
eter frewall rules, or Web application security (Application Firewall, URL Filtering, whitelist and blacklists). The VMware
vCloud reference architecture provides a method to communicate the network security profle.
A critical component of the reference architecture is the isolation of networks; enterprises need to ensure that service
providers implement separate management networks and data networks per customer. In other words, there needs
to be complete isolation between each customer’s virtual machine and the data trafc connecting to their virtual
machines. In addition, service providers should have a separate network for VMware VMotion and VMware VMsafe™.
Enterprises should request that service providers encrypt all management trafc, including VMware VMotion events.
Many enterprises will require encryption of data packets via SSL/IPSec, or management connectivity via SSL or SSH.
Some service providers ofer only shared or open connectivity. At a minimum, all management connectivity should be
provided via SSL.
6) Data security
Enterprises should request service providers provide access paths to only the physical servers that must have access to
maintain the desired functionality. Service providers should accomplish this through the use of zoning via SAN N-Port
ID virtualization (NPIV), LUN masking, access lists and permission confgurations.
7) Security authentication, authorization and auditing
Cloud service provider environments require tight integration with enterprise policies around individual and group
access, authentication and auditing (AAA). This involves integrating corporate directories and group policies with the
service provider’s policies.. Service providers should ofer stronger authentication methods to enterprises, such as
2-factor hard or soft tokens or certifcates. The enterprise should require a user access report, including administrative
access as well as authentication failures, through the service provider portal or via a method that pulls this data back to
the enterprise. The VMware vCloud reference architecture provides a method to communicate the access controls and
authentication needs to the service provider.
8) Identity management (SSO, entitlements)
Cloud environments require control over user access. Cloud providers must defne a virtual machine identity that ties
each virtual machine to an asset identity within the provider’s infrastructure. Based on this identity, service providers are
able to assign user, role and privilege access within the extended infrastructure to provide role-based access controls.
Enterprises also want to prevent unauthorized data cloning or copying from a virtual machine to a USB device or CD.
Service providers can prevent cloning and copying of virtual machines using a combination of virtual machine identity
and server confguration management policies.
Summary
Enterprises that are looking for ways to streamline internal IT operations, to expand on-premise infrastructure and add
capacity on demand, or to fully outsource the infrastructure are all investigating the many advantages of cloud com-
puting.
While cloud computing ofers a fundamentally new way to cost-efectively and quickly deploy new services and
augment existing capabilities, it’s not without its challenges. Chief among these challenges is security. IT staf can readily
address security concerns by deploying the appropriate solutions and following best practices as they relate to each
company’s unique business requirements.
For more information on VMware vCloud initiative, please visit
• www.vmware.com/vcloud
For more information on Savvis Cloud Security Solutions, please visit
• www.savvis.com/en-US/Solutions/Pages/Cloud.aspx
VMware กระดาษสีขาว
1 ) การรักษาความปลอดภัยข้อมูลจากผู้บริหารต่อโปรไฟล์
ควรสื่อสารองค์กรของบริษัทนโยบายการรักษาความปลอดภัยและเซิร์ฟเวอร์ชั้น frewall กฎที่ defned
ภายใน vapp ไปยังผู้ให้บริการ นี้ควรรวมถึงเซิร์ฟเวอร์ขององค์กรการรักษาความปลอดภัยแพทช์ระดับ สถานะการป้องกันไวรัสและข้อ จำกัด การเข้าถึง
fle ระดับ .VMware จาวาสถาปัตยกรรมอ้างอิงแสดงวิธีการที่จะสื่อสารนโยบาย
และเซิร์ฟเวอร์ชั้น frewall กฎสำหรับ vapp .
2 ) การรักษาความปลอดภัย DMZ สำหรับ vapp
ผู้ให้บริการต้องการที่จะตรวจสอบระดับแพทช์และการรักษาความปลอดภัยระดับก่อนที่จะนำ vapp ในสภาพแวดล้อมการผลิต
VMware จาวาสถาปัตยกรรมอ้างอิงควรจะรวมถึง DMZ พื้นที่ตรวจ vapp -
และ มิติหลักการการรักษาความปลอดภัยใด ๆละเมิดตาม profle ความมั่นคงขององค์กรแต่ละ การจัดการ OS
3 ) มันเป็นสิ่งสำคัญที่จะเข้าใจการรักษาความปลอดภัยการแสดงรอบห้องสมุดผู้ให้บริการของ OSS และ
( นโยบาย ผู้บริหารควรปรับปรุงนโยบายการรักษาความปลอดภัยแบบดั้งเดิม ที่ควบคุมผู้ให้บริการโฮสติ้ง
สิ่งแวดล้อมเพื่อให้มั่นใจว่าเครื่องเสมือนจะแข็งและติดตั้งภายในนโยบายองค์กรมาตรฐาน
ผู้บริหารควรปรับปรุงเครื่องเสมือนที่ไม่ได้อยู่ในระดับที่ถูกต้องเพื่อแก้ไขระดับแพทช์ที่ถูกต้องผ่านการ DMZ , ตัวอย่างเช่น .
4 ) การจัดการทรัพยากร
ความต้องการผู้ให้บริการเพื่อแยกและแยกทรัพยากรลูกค้าแต่ละเครื่องเสมือนใช้จากยูเอส -
อื่น ๆtomers ' ทรัพยากรเสมือนเครื่องเพื่อป้องกันการโจมตี DDoS . การโจมตีเหล่านี้มักจะเกิดจากการบันทึก fles ไม่มีขีดจำกัด
หรือ CPU หรือใช้หน่วยความจำเพิ่มในเดียวเสมือนเครื่องผ่านหน่วยความจำรั่ว หรือทำสิ่งที่เห็นทั้งหมดใช้งานได้ -
.
5 ) การรักษาความปลอดภัยรายละเอียดต่อเครือข่าย
นอกเหนือไปจาก vapp มีคำนวณ profle รักษาความปลอดภัยควรจะมีการรักษาความปลอดภัยเครือข่ายเพื่อให้แน่ใจว่า
profleปริมณฑลและเว็บการรักษาความปลอดภัยการเข้าถึง มันมีฟังก์ชันการทำงานเช่นสวิตช์เราเตอร์และรายการควบคุมการเข้าถึง ( ACLS ) เพอริม -
diphenyl frewall กฎ หรือโปรแกรมรักษาความปลอดภัยเว็บ ( โปรแกรมไฟร์วอลล์และการกรอง URL , แบล๊กลิสต์รายการ ) VMware
จาวาสถาปัตยกรรมอ้างอิงแสดงวิธีการที่จะสื่อสาร profle การรักษาความปลอดภัยเครือข่าย
เป็นองค์ประกอบที่สำคัญของสถาปัตยกรรมอ้างอิง คือ การแยกของเครือข่าย องค์กรต้องให้แน่ใจว่าผู้ให้บริการเครือข่ายการจัดการแยก
ใช้เครือข่ายข้อมูลต่อลูกค้า ในคำอื่น ๆที่มีความต้องการ
จะแยกสมบูรณ์ระหว่างเครื่องเสมือนของลูกค้าแต่ละคนและข้อมูลจราจรที่เชื่อมกับเครื่องเสมือน
. นอกจากนี้ผู้ให้บริการควรมีเครือข่ายที่แยกต่างหากสำหรับ VMware vmotion และ VMware VMsafe ™ .
รัฐวิสาหกิจควรขอให้ผู้ให้บริการการเข้ารหัสลับทั้งหมดการจัดการจราจร รวมถึง VMware vmotion เหตุการณ์ .
หลายองค์กรจะต้องเข้ารหัสของแพ็กเก็ตข้อมูลผ่าน SSL / IPSec หรือการจัดการการเชื่อมต่อผ่านทาง SSL หรือ SSH .
บางผู้ให้บริการที่ใช้ร่วมกันเท่านั้นหรือการเชื่อมต่อให้เปิด อย่างน้อยทั้งหมดการจัดการการเชื่อมต่อควรจะ
ให้ผ่าน SSL การรักษาความปลอดภัยข้อมูลองค์กร
6 ) ควรขอผู้ให้บริการมีเส้นทางการเข้าถึงเฉพาะเซิร์ฟเวอร์ทางกายภาพที่ต้องมีการเข้าถึง
รักษาที่ต้องการทํางาน ผู้ให้บริการควรบรรลุนี้ผ่านการใช้เขตทาง ซาน n-port
ID Virtualization ( npiv ) ลุนกาวเข้าถึงรายการและได้รับอนุญาต confgurations .
7 ) ตรวจสอบการรักษาความปลอดภัย , การอนุมัติและการตรวจสอบ
บริการบริการเมฆสภาพแวดล้อมที่ต้องแน่นรวมกับองค์กรนโยบายรอบบุคคลและเข้าถึงกลุ่ม
, การตรวจสอบและการตรวจสอบ ( AAA ) นี้เกี่ยวข้องกับการรวมไดเรกทอรีขององค์กรและกลุ่มนโยบายกับนโยบาย
ผู้ให้บริการ . . . . . . .ผู้ให้บริการควรให้แข็งแกร่งการตรวจสอบวิธีการที่องค์กร เช่น
2-factor แข็งหรืออ่อนสัญญาณหรือ Certifcates . องค์กรควรต้องให้ผู้ใช้เข้าถึงรายงาน รวมทั้งการบริหาร
เข้าถึงรวมทั้งความล้มเหลวของการตรวจสอบผ่านผู้ให้บริการพอร์ทัลหรือผ่านวิธีการที่ดึงข้อมูลนี้กลับไป
องค์กรVMware จาวาสถาปัตยกรรมอ้างอิงมีวิธีการสื่อสาร การเข้าถึงการควบคุมและการตรวจสอบต้องผู้ให้บริการ
.
8 ) การจัดการเอกลักษณ์ ( สปส. รองอธิบดี , )
สภาพแวดล้อมเมฆต้องควบคุมการเข้าถึงของผู้ใช้ ผู้ให้บริการเมฆต้อง defne เครื่องเสมือนเอกลักษณ์ที่ผูก
แต่ละเครื่องเสมือนตัวตนของสินทรัพย์ภายในของผู้ให้บริการโครงสร้างพื้นฐานตามอัตลักษณ์นี้ ผู้ให้บริการจะ
สามารถกําหนดผู้ใช้ บทบาทและการเข้าถึงสิทธิประโยชน์ภายในขยายโครงสร้างพื้นฐานเพื่อให้ผู้ใช้ควบคุมการเข้าถึง บริษัทยังต้องการที่จะป้องกันไม่ได้รับอนุญาต
โคลนหรือคัดลอกข้อมูลจากเครื่องเสมือนเป็นอุปกรณ์ USB หรือ CD
ผู้ให้บริการสามารถป้องกันการโคลนและคัดลอกของเครื่องเสมือนการรวมกันของเครื่องเสมือนเอกลักษณ์
และนโยบายการจัดการ confguration เซิร์ฟเวอร์ .
สรุป บริษัท ที่กำลังมองหาวิธีที่จะปรับปรุงภายในการขยายโครงสร้างพื้นฐานในสถานที่ตั้งและเพิ่ม
ความจุได้ตามต้องการหรือเต็มที่ outsource โครงสร้างพื้นฐานทั้งหมดตรวจสอบข้อดีของเมฆดอทคอม -
Puting .
ในขณะที่ ofers คอมพิวเตอร์เมฆวิธีพื้นฐานใหม่ ต้นทุน efectively อย่างรวดเร็วและปรับใช้บริการใหม่และ
ประเทืองความสามารถที่มีอยู่ , มันไม่ได้โดยไม่มีความท้าทาย หัวหน้าของความท้าทายเหล่านี้มีความปลอดภัย มัน staf พร้อมสามารถ
ที่อยู่ปัญหาด้านความปลอดภัยโดยการปรับใช้โซลูชั่นที่เหมาะสม และปฏิบัติตามวิธีปฏิบัติที่ดีที่สุดที่เกี่ยวข้องกับความต้องการทางธุรกิจเฉพาะของแต่ละบริษัท
.
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้จาวา โปรดเยี่ยมชม
-
www.vmware . com / จาวาสำหรับข้อมูลเพิ่มเติมเกี่ยวกับระบบปฏิบัติการรักษาความปลอดภัยเมฆโซลูชั่นกรุณาเยี่ยมชม
- www.savvis.com/en-us/solutions/pages/cloud.aspx
การแปล กรุณารอสักครู่..