服务器虚拟化安全优化五大策略

服务器虚拟化技术成为当前数据中心的主流发展方向。服务器虚拟化技术提高了可用性，减少IT成本和支持未来的业务增长。然而，服务器虚拟化技术由此带给数据中心的服务器安全问题也不容忽视。 企业保护自己的虚拟服务器环境的安全是非常重要的，特别是虚拟化不仅已经在服务器中更普遍的应用，而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。虚拟服务安全的主要问题，以及如何更好地控制这些问题，同时为虚拟化进一步向数据中心普及做好准备。 1、解除服务器虚拟化安全隐患之管理、责任和政策 管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同，物理服务器由在这个物理区域的管理员直接负责，虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候，会出现如下问题：谁负责、谁应该拥有访问权、谁应该配置和保证这个环境的安全这个责任是应该由业务部门、服务器管理员还是一个集中的主管理员负责 当设法解决这些问题时，遵循的一个简单的规则是对待重要的虚拟服务器应该像对待物理服务器一样采取同样的控制措施。例如，如果你没有把你的SAP服务器的根口令提供给主要管理员以外的其他人，对于你的虚拟SAP服务器也要制定同样的规则。 应用安全虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟安全的问题时，IT管理员需要制定正确的政策安全地保护自己的系统。然而，这些政策必须足够灵活以保证它们没有太多的限制。IT管理员需要询问使用当前的安全政策是否可以实现服务器虚拟化的全部好处。一个理想的解决方案是通过保证虚拟化不绕过现有的安全控制措施让用户保持对自己的基础设施的控制。这需要高水平的集中批准和控制。 2、解除服务器虚拟化安全隐患之遵守法规 随着一些虚拟服务器变成拥有极少控制的看不见的网络，就会出现遵守法规的问题。对于没有专门负责监视每一台主机内部虚拟机的全部互动情况的数据中心管理员来说，这是很成问题的。随着虚拟化继续向主流应用发展，有许多遵守法规的强制规定将不可避免地影响到虚拟化的应用。例如，这些遵守法规的强制规定之一是PCI-DSS(支付卡行业数据安全标准)。 在零售行业，定义信用卡处理的规定(PCI-DSS要求221)要求企业每台服务器仅执行一项功能。这使人们对这个规定有许多解释。有些零售商也许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准含糊不清，单个的企业正在采取不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规，从而引起企业的风险。使用一个有经验的综合者解决这个问题。PCI安全标准委员会最近恢复了一个特别兴趣组，以澄清审计人员和用户在虚拟化方面遇到的一些问题。这个兴趣组将在2009年年底之前提供第一轮建议。 在处理服务器虚拟化的遵守法规的问题，企业需要理解自己的风险。建立一个安全的审计跟踪作为遵守内部和外部审计者规定的证明，实时报警和联合流程仍是虚拟环境优先考虑的事情。如果一家公司能够现实地处理自己的风险，它就很容易解决审计者担心的问题并且保证能够修复任何问题。 随着他们允许机构保持老式的服务、操作系统和应用程序，同时继续推进数据中心优化的努力，虚拟机将更加流行。因此，没有一个管理这些老式系统的撤销过程的明确的计划，就会存在风险并且会给企业带来新的重大安全风险。有一种推测认为，老式系统中使用的安全措施能够在虚拟化环境中提供同样的安全保护。企业把老式的安全措施当作安全系统是不安全的，不会以同样的方式发挥作用，从而使企业容易遭到安全攻击。 3、解除服务器虚拟化安全隐患之保证虚拟化安全并监视虚拟化 把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的安全并且进行监视以便解决安全漏洞。与在裸机上运行的操作系统/应用程序不同，在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器，在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。 当然，这种灵活性还会产生安全漏洞。随着虚拟机的不断的上线和下线，或者根据需要从一台服务器迁移到另一台服务器，安全控制措施需要反映这些变化。此外，随着虚拟机从一台服务器迁移到另一台服务器，这些虚拟机也许会为传统的防火墙检测不到的危险和攻击敞开大门。处理这种安全漏洞的一个理想的方法是利用高级记录事件管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视具体的事件、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构详细地理解有权限的用户能够对单个虚拟机做什么。 由于虚拟机的设置和运行时间都比传统的物理服务器更短暂，这将引起额外的担心。这产生了一些风险情况。在这种情况中，虚拟机不可能上线进行安全扫描、升级和使用补丁。当发生故障的时候，找到故障原因也是很困难的，因为虚拟机不断地建立和撤销，快照和检查点经常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些安全问题是非常重要的。 由于数据中心的虚拟机数量比物理服务器的数量多，保证这些虚拟机避免遭到病毒攻击是比较复杂的。由于虚拟机数量更多，病毒能够成倍地传播，攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种情况下提供帮助，不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通，能够完全访问共同身份识别和加密等安全功能。 虚拟机镜像将保留在文件中。结果，由于这些文件很容易复制，这就增加了风险。有一些可用的选择可以管理这些特殊问题。虚拟机镜像本身中的秘密数据不应该轻松地访问。最起码的是企业应该加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外，加强管理来自网络的虚拟机镜像能够更严格进行控制，保证最低限度地访问这些镜像和增加身份识别。 4、解除服务器虚拟化安全隐患之虚拟机蔓延和移动 许多企业日益担心虚拟机蔓延问题。除了日益增加的管理复杂性和日益提高的数据中心成本之外，人们还日益担心缺少可用的控制措施避免业务部门经理自己创新大量新的虚拟服务器。使这种担心更加严重的是这些新的服务器也许是在没有保证适当管理和安全的情况下创建的。 与虚拟机蔓延和轻松地在物理服务器之间迁移虚拟机有关的一个重要问题是支持环境的可持续性。这个主要问题是不同的虚拟机工作量通常有不同的与存储、计算和网络有关的要求。控制这个风险需要明确地关联虚拟机工作量和适当的要素分类，以及确保维持必要的安全态势。 当考察软件管理解决方案的时候，企业有必要评估他们支持基于政策的向这个环境动态分配虚拟机的能力。这种能力通常称作“沙箱”。沙箱是隔离运行的应用程序的一种安全机制。沙箱经常用来执行没有经过测试的代码或者没有经过验证的第三方、供应商或用户的应用程序。这种方法通过阻止应用程序向沙箱外部写数据的方法来保证应用程序的安全，阻止进入系统的病毒和其它恶意活动进行破坏。 保持所有相关活动的审计记录也是非常重要的。一个有关正在运行的情况的漫游快照能够让管理员回去进行验证、优化和监视用户活动， 并且保持一个准确的快照。通过运行在同一个沙箱中的与遵守法规有关的应用程序，与其它更普通的应用程序隔离开，企业能够减少数据泄漏的风险。这允许企业保持一个适当的安全态势并且根据传统的数据分类按照政策隔离虚拟机。 为了减少虚拟机蔓延，企业应该利用一些时间培训管理员有关虚拟基础设施开发、管理和安全的知识。他们要求明确地理解虚拟化技术和虚拟化技术与传统的IT基础设施的区别。IT人员必须有正确的工具进行有效的管理。但是，IT人员还需要进行培训以正确地管理这个新的基础设施。 5、解除服务器虚拟化安全隐患之安全改进 机构能够继续改善他们的安全态势。下面是一些额外的建议： ·减少服务器关机时间。虚拟机能够在完全运行的时候进行备份，因此要确认你的系统在继续运行以保证实时备份。如果一个系统发生故障并且管理员执行了实时备份或定时快照，系统会很快恢复。如果恢复是必要的，那么，退回重来就像提取最新的快照一样简单。 ·改善IT效率。企业利用一个批准的黄金镜像能够实现增强的安全性和管理性。这个黄金镜像为一个桌面提供各种存储在防火墙后面的用户资料。这样做企业能够显著改善生产率，帮助改善IT运营。这种做法就是保证每一个使用的虚拟机都是根据经过批准的黄金镜像制作的，无论这些虚拟机用于开发、测试或者生产都是如此。 ·提高灵活性。为了向一切都是服务的模式的过渡，企业能够定义和应用合适的数据分类和分离。这还能够使企业更轻松和更自信地恰当地选择专有的和公共的云计算解决方案。这是因为虚拟化能够参考SOA让实施更方便地在云计算环境中管理和部署。 随着虚拟化继续推动数据中心的发展，采用超越物理环境的最佳安全做法、政策和解决方案并且像对待物理环境一样警惕地对待虚拟环境是非常重要的。理解你的企业的安全风险状况，应用适当水平的安全措施能够让你的企业从虚拟解决方案中获得巨大的好处，同时为未来的数据中心技术创新创造一个舞台。 以上五大服务器虚拟化安全优化策略，是完善服务器虚拟化的关键所在。朗思通普做为HP服务器铂金代理商，专业代理惠普服务器、惠普存储等商用产品与配件，提供HP服务器虚拟化配置、安装、优化等一站式解决方案。

硬件

为了能使服务器更高效地运转，我们必须确保服务器各组件的性能合理搭配。例如我们购买了高性能的服务器，但为了降低成本而使用了兼容 组件，由于兼容组件的质量大大低于原装配件的质量，这样就会出现有的配件处于瓶颈状态，有的配件处于闲置状态，最后的结果就会导致整 个服务器系统性能下降。总之，一部高性能的服务器是整体性能的合理搭配，而任何一个产生系统瓶颈的组件都有可能导致整个系统性能下降 。

1处理器（CPU）

CPU对于服务器来说，就像人类的大脑。CPU的类型、主频和数量决定着服务器的性能。目前，由于IA架构的服务器采用开放体系结构，因而受 到了国内外服务器厂商的青睐，并以较高的性能价格比而得到广泛的应用。Intel现在生产的CPU中主要分为3类，奔腾4（Pentium 4）系列、至 强（Xeon）系列和安腾2（Itanium 2）系列。其中：Pentium4 主要面向PC，对多处理器支持不够好，适用于入门级服务器。 被过滤广告

Xeon作为服务器专用CPU，除了拥有超线程技术外，还集成三级高速缓存体系结构，Xeon支持两个CPU，Xeon MP则支持4以上，适用于工作组和 部门级服务器。Itanium是与其他CPU完全不同的64位CPU，可用于处理大型数据库，进行实时安全交易等应用，适用于企业级服务器。

对于目前规模较小（如10个客户端）、服务器预算较低（如15000元以下）的中小型企业来说，选择CPU应该首先考虑Pentium 4。如果服务器的 数据处理量较大，可以考虑双Pentium 4处理器或Xeon系列。但需要注意的是，不要去买日后能升级到双CPU，但现在标配是单CPU的双路服务器 。因为CPU技术更新很快，当需要升级到双CPU时比较烦琐，而且同样费用下能买到性能明显比原来处理器高出许多的新一代的处理器。除此之 外，CPU的主频越高，缓存数量越大，则服务器的运算速度就会越快、性能就会越高，但必需从自身的应用需求出发搭配相关硬件。

2内存（RAM）

用户在选购服务器时往往重视CPU，而忽视内存的大小和性能。服务器内存比普通PC内存要严格得多，它不仅强调速度，还要求纠错能力和稳定 性。目前服务器上也有使用SDRAM内存的，但大部分服务器都使用采用ECC专用内存。内存选择要根据实际使用情况和服务器本身所能配置的最 大内存来斟酌，因为服务器在工作时，会占用很多内存，所以应配置大一些，当然这也和资金投入有关。特别是对于数据库服务、Web服务等而 言，内存容量尤其重要。通常，入门级服务器的内存不应该小于512MB，工作组级的内存不小于1GB，部门级的内存不小于2GB。

3磁盘阵列（RAID）

提升存储系统性能的最佳办法就是采用RAID系统。简单的说，RAID是一种把多块独立的物理硬盘按不同方式组合起来形成一个逻辑硬盘组，从 而提供比单个硬盘更高的存储性能和提供数据冗余的技术。而RAID卡就是用来实现RAID功能的板卡，通常是由I/O处理器、SCSI控制器、SCSI连 接器和缓存等一系列组件构成的。RAID卡可以有效地提升存储系统的数据传输速率并降低CPU占用率。由于价格的限制，SCSI RAID卡在入门级 服务器中还是很少采用的，但入门级服务器可采用廉价的IDE RAID卡以实现相似的功能。

4硬盘（DISK）

硬盘和内存都是以大为美。现在的硬盘从接口上来说，主要可分为IDE硬盘和SCSI硬盘。IDE硬盘即我们日常所用的硬盘，它由于价格便宜而性 能也不差，因此在PC上得到了广泛的应用。另一类硬盘就是SCSI硬盘了，由于其性能好，因此在服务器上普遍均采用此类硬盘产品，但SCSI硬 盘虽好但价格较高，因而较少在低端系统中应用。目前，在小型服务器中现在普遍采用的是支持S-ATA（串行ATA）技术的IDE硬盘。这种IDE硬 盘与以往普通的支持P-ATA技术的IDE硬盘相比，由于采用了点对点而不是基于总线的架构，所以可以为每个连接设备提供全部带宽，从而提高 了总体性能。但对于一些不能轻易中止的服务器而言，还应当选用SCSI硬盘以保证服务器的不停机维护和扩容。

5主板（MAINBOARD）

在服务器的主板方面需要注意的是集成的设备和是否有充足的扩展插槽，像显卡、声卡、USB接口等是否是集成的，这样既可以节约开销，同时 也留下了更多的扩展插槽，散热空间也相对更大了一些。还要提醒您注意的是，在服务器厂商的配置资料中所注明的扩展插槽的数量可能包括 出厂时已经使用的插槽，如网卡、显卡等，所以这样的话，可供您使用的插槽数量已经打了折扣。同时，不同的主板设计也会对服务器的整体 性能有所影响。这里还要提到intel，因为它不仅是CPU制造厂商，同时也是重要的主板厂商，Intel主板严格遵照规范制作，并对Windows做了 优化，可保证产品的最大兼容性，加上对自己所生产的CPU最为了解，更容易释放和获得性能。

软件

操作系统（OS）

如果把服务器的硬件配置比作人体的骨骼和肌肉，那么服务器所选用的操作系统就是血液和脉络。目前，服务器操作系统主要有三大类：第一 类是Microsoft Windows Server系列操作系统，这类产品大家最熟悉，也最容易得到，比较适合中小企业。目前Microsoft的中小企业操作系统 是Small Business Server 2003（以下简称SBS）。SBS是一个针对中小企业的“一揽子”方案，其主要特点是容易安装，容易管理，容易使用 。如：你现在只需要使用一个向导，就可以轻松地为网络、防火墙和电子邮件配置正确的设置。目前SBS有两个版本：标准版（Standard Edition）和高级版（Premium Edition）。第二类是Linux操作系统，它具有一定的开放性，因此价格比Windows Server系列操作系统便宜很多 ，但也正是因为它的开放性导致它的维护成本较高，因此中小企业需要慎用，不要只图一时便宜而陷入后续无底的维护“梦魇”。第三类是 UNIX，代表产品包括HP-UX、IBM AIX等，但这类服务器主要定位于高端，不适合中小企业。

数据库软件（DB）

数据库软件是服务器软件的另一个重点，它是维护企业核心信息的工具，数据库软件选择得是否合适将直接影响到企业未来的业务整合和信息 化的深入。如果你选用了SBS高级版，那么数据库软件SQL Server 2000就已经包含在其中了。与其他的数据管理平台相比较，SQL Server 2000 与更多的中小企业应用程序兼容，同时各种数据库分析、监控工具有助于确保正常的业务运营。如果你安装的是Linux操作系统，那你运行的数 据库软件就应该是MySQL了。作为掌管企业核心信息的数据库，我们不太推荐MySQL。因为MySQL是数据库领域的“中间派”，它缺乏一个全功能 数据库的大多数主要特征，但是又有比类似Xbase数据库更多的特征。它象关系数据库管理系统（RDBMS）那样需要一个守护程序，但又不能象 它们那样消费资源。MySQL可以在Linux世界里找到一个位置，但考虑到中小企业今后的业务扩展，应该选用一个更专业的数据库软件。

单就服务器来说主要由：服务器主板、服务器CPU、服务器内存、服务器电源、服务器网卡、服务器硬盘、服务器机箱等组成，基本上和PC差不多，只是全部都是服务器专用的，无法和PC互用配件。

注意事项：

2021年10月8日，为防止未成年人沉迷网络游戏，维护未成年人合法权益，文化和旅游部印发通知，部署各地文化市场综合执法机构进一步加强网络游戏市场执法监管。据悉，文化和旅游部要求各地文化市场综合执法机构会同行业管理部门。

重点针对时段时长限制、实名注册和登录等防止未成年人沉迷网络游戏管理措施落实情况，加大辖区内网络游戏企业的执法检查频次和力度；加强网络巡查，严查擅自上网出版的网络游戏；加强互联网上网服务营业场所、游艺娱乐场所等相关文化市场领域执法监管，防止未成年人违规进入营业场所。感兴趣的话点击此处，了解一下

两种方案：

一种在线扩容，前提是硬盘必须与原来的规格相同（风险较大，实施前需要备份数据）好处在于对系统和应用无影响，可在线执行。

第二种离线扩容，购买企业级的SATA 2TB 的磁盘（硬盘托架需要另行采购）关闭服务器插入购买的硬盘至空余槽位。开启服务器看到提示按CTRL+R时进入RAID BIOS配置界面将添加进来的磁盘单独做一个RAID5 （已单块2TB的容量计算，做完阵列后可得到大约4TB的空间）

第二种方案较为经济安全。

第一种方案需要用到DELL的管理软件OPEN MANAGER才能实现

祝你成功~~~~

SATA的硬盘最好采购DELL的硬盘，否则会有内部报错，虽不影响使用，但会影响性能