【正文】 通過與管理平臺配合，需要支持基于角色的訪問控制和管理委派，以作為管理虛擬安全的統(tǒng)一框架的一部分。為虛擬數(shù)據(jù)中心提供針對網(wǎng)絡(luò)威脅的基礎(chǔ)防護(hù)，利用基本流量信息（例如源/目標(biāo) IP 地址/端口），并基于管理員定義的“分區(qū)”，為應(yīng)用程序提供防火墻保護(hù)和策略管理l 提供基于主機(jī)的防病毒和惡意軟件防護(hù)，可以降低性能延遲和省去在每個虛擬機(jī)內(nèi)維護(hù)個別安全代理的工作，從而在簡化安全管理的同時盡可能降低感染惡意軟件的風(fēng)險。l 可保護(hù)虛擬數(shù)據(jù)中心內(nèi)的應(yīng)用程序免受網(wǎng)絡(luò)威脅的侵?jǐn)_的解決方案。B. 簡化共享虛擬基礎(chǔ)架構(gòu)的成本會計(jì)n 準(zhǔn)確說明各個業(yè)務(wù)單位的資源所有權(quán)n 自動分配服務(wù)器、存儲和網(wǎng)絡(luò)資源的使用成本n 定期安排和分發(fā)報告以向業(yè)務(wù)所有者傳達(dá)使用和成本信息C. 使用全面數(shù)據(jù)中心成本建模n 跟蹤與虛擬基礎(chǔ)架構(gòu)部署相關(guān)的電源、散熱、占地空間、軟件許可證和維護(hù)的成本n 在組織單位之間分?jǐn)偣蚕順I(yè)務(wù)服務(wù)的成本n 與現(xiàn)有的 IT 財務(wù)管理或資產(chǎn)管理系統(tǒng)集成，以獲得跨物理和虛擬資源的完全成本可見性 云服務(wù)門戶安全對于想要充分利用云計(jì)算的優(yōu)勢，同時不犧牲安全性、控制力或遵從性的企業(yè)，安全解決方案需要為虛擬數(shù)據(jù)中心和云計(jì)算環(huán)境提供了支持虛擬化的保護(hù)，使用戶可以加強(qiáng)應(yīng)用程序和數(shù)據(jù)安全，提高可見性和控制力，以及加快整個企業(yè)內(nèi)的云計(jì)算遵從性舉措。n 消除以為虛擬機(jī)“免費(fèi)”的錯誤認(rèn)識。借助對相關(guān)成本的更好可見性，幫助企業(yè)制定有關(guān)服務(wù)級別的明智決策。A. 準(zhǔn)確測算和分析虛擬機(jī)的成本通過確保準(zhǔn)確測算虛擬化工作負(fù)載的真實(shí)成本來制定更好的資源利用和分配決策。l 簡化計(jì)費(fèi)計(jì)費(fèi)模塊要能自動生成詳細(xì)計(jì)費(fèi)報表，可以發(fā)送給組織中的不同業(yè)務(wù)單位，讓每個付費(fèi)的業(yè)務(wù)單位清晰了解他們使用的資源和相關(guān)費(fèi)用。n 支持分配計(jì)費(fèi)、基于利用率計(jì)費(fèi)和兩者混合計(jì)費(fèi)；n 允許輸入計(jì)算結(jié)構(gòu)、基本成本模型、固定成本和多個費(fèi)率設(shè)置，來滿足不同需求。要素如下：n 了解每臺虛擬機(jī)的成本；n 在不同部門間恰當(dāng)?shù)姆峙涑杀?；n 完善的費(fèi)用報告。為此，云計(jì)算的計(jì)費(fèi)管理主要實(shí)現(xiàn)如下目標(biāo)：l 云計(jì)算成本的精確報告云計(jì)算計(jì)費(fèi)要考慮多個因素，包括硬件成本（CPU、內(nèi)存、存儲等）和其他成本，包括供電和冷卻。云計(jì)算計(jì)費(fèi)管理主要是分析成本架構(gòu)、衡量和計(jì)費(fèi)，幫助系統(tǒng)管理員分析成本。利用管理平臺的計(jì)費(fèi)組件獲得準(zhǔn)確的成本測算、分析和報告。性能管理需提供跨物理，虛擬和云基礎(chǔ)設(shè)施的連續(xù)的應(yīng)用性能監(jiān)測，提供細(xì)致的技術(shù)指標(biāo)，支持廣泛的互聯(lián)網(wǎng)技術(shù)，可得到的深刻而完整的能見度，使可快速解決在應(yīng)用程序的基礎(chǔ)設(shè)施的任何層的性能問題，確保最佳的應(yīng)用性能，并滿足服務(wù)水平協(xié)議。動態(tài)負(fù)載平衡需要包括流行的和全面的HTTP服務(wù)器，提供優(yōu)越的性能，可擴(kuò)展性，安全性和簡易性。云訊息云的系統(tǒng)間消息傳遞對于形成基于云的應(yīng)用高可用性，可擴(kuò)展性和便攜性，可預(yù)測的和保持一致性的吞吐量和延遲，是至關(guān)重要的。 云應(yīng)用服務(wù)云計(jì)算應(yīng)提供一套完整的實(shí)時服務(wù)，在高度分布式的基于云的環(huán)境給予應(yīng)用所需的容量：全球數(shù)據(jù)管理 分布式數(shù)據(jù)管理平臺先進(jìn)的內(nèi)存處理應(yīng)可提供數(shù)據(jù)庫不能提供某些功能：針對虛擬化和基于云的應(yīng)用的實(shí)時，彈性可擴(kuò)展的數(shù)據(jù)分布和緩存。最終，IT 組織可利用基于現(xiàn)有 LDAP（輕型目錄訪問協(xié)議）目錄服務(wù)實(shí)現(xiàn)的角色訪問控制機(jī)制，通過權(quán)限、配額和租約來保持控制力。IT 團(tuán)隊(duì)可以針對同一基礎(chǔ)架構(gòu)定義多種使用模式，從按需提供容量到保留池不等。不必再填寫服務(wù)臺申請單并排隊(duì)等待，現(xiàn)在，應(yīng)用程序和業(yè)務(wù)線所有者可以利用自助門戶來訪問自己的虛擬數(shù)據(jù)中心。類似地，底層基礎(chǔ)架構(gòu)也可以聚合到不同的層中，以不同的服務(wù)級別和價格向用戶提供。 不再是為組織提供孤立的多個物理基礎(chǔ)架構(gòu)，而是基于公用物理基礎(chǔ)架構(gòu)提供相互隔離的虛擬數(shù)據(jù)中心。云計(jì)算基礎(chǔ)架構(gòu)以虛擬數(shù)據(jù)中心的形式為內(nèi)/外部組織提供資源。申請資源在需要使用的日期之前，不會占用云計(jì)算中心的實(shí)際資源。云計(jì)算服務(wù)管理平臺可以涵蓋云計(jì)算服務(wù)提供所需的各個環(huán)節(jié)，通常包括：n 服務(wù)申請和流程管理n 服務(wù)交付和回收，自動供應(yīng)平臺n 資源使用統(tǒng)計(jì)和計(jì)費(fèi)n 服務(wù)質(zhì)量監(jiān)控n 其它的支撐服務(wù)，包括安全性等在整個服務(wù)的生命周期包括兩類參與角色，終端用戶即服務(wù)訂閱者，云平臺運(yùn)營管理用戶，包括云計(jì)算平臺管理員，服務(wù)目錄管理者和服務(wù)水平管理員。資源可以重新放回資源池以重新利用。216。 服務(wù)運(yùn)行服務(wù)運(yùn)行首先意味著服務(wù)的供應(yīng)，通過自動化的供應(yīng)平臺使消費(fèi)者在指定的時間獲得云計(jì)算資源；其次意味著服務(wù)的管理，需要確保云計(jì)算服務(wù)的質(zhì)量，包括計(jì)算性能和可靠性。如果出現(xiàn)計(jì)劃服務(wù)的時間無法獲得所需的計(jì)算資源，就會影響相關(guān)服務(wù)申請的服務(wù)水平，從而給使用部門，即云服務(wù)消費(fèi)者，帶來業(yè)務(wù)上的損失。 服務(wù)訂閱主要是指云服務(wù)消費(fèi)者申請?jiān)朴?jì)算能力和服務(wù)，或者更改某個已有的服務(wù)申請。服務(wù)目錄中的資源可以為服務(wù)器、可以為單個的CPU或內(nèi)存、可以為存儲容量、可以為應(yīng)用軟件、可以為特定執(zhí)行程序，服務(wù)目錄是一個云計(jì)算環(huán)境可用計(jì)算資源的集中體現(xiàn)。216。IaaS服務(wù)采用自服務(wù)的方式，服務(wù)的生命周期如下圖：IaaS服務(wù)生命周期主要分成以下幾個階段：216。216。216。216。216。 云計(jì)算服務(wù)門戶 云服務(wù)門戶在新的服務(wù)模式中，IT 是業(yè)務(wù)部門的服務(wù)提供者，這樣既實(shí)現(xiàn)了云計(jì)算的優(yōu)勢，又不會犧牲安全性和控制力。在虛擬化環(huán)境下部署應(yīng)用不存在標(biāo)準(zhǔn)流程，但是通過上述的原則可以獲得部署的指導(dǎo)。216。216。216。216。216。216。216。 在虛擬化環(huán)境下直接部署新的應(yīng)用在虛擬環(huán)境下進(jìn)行應(yīng)用部署時應(yīng)當(dāng)遵循以下的原則：216。當(dāng)虛擬環(huán)境下進(jìn)行應(yīng)用進(jìn)行部署時會存在兩種情況：216。業(yè)務(wù)和IT報告對災(zāi)難恢復(fù)項(xiàng)目進(jìn)程的跟蹤、狀態(tài)的傳遞和結(jié)果的報告是所有災(zāi)難恢復(fù)項(xiàng)目的重要輸出，對于判斷IT功能虛擬化所進(jìn)行的大量投入的效果是非常重要的。保持完整性的規(guī)則包括問題、變更、事件、配置和資產(chǎn)管理在內(nèi)的嚴(yán)格的系統(tǒng)管理規(guī)則是實(shí)施任何新的虛擬化災(zāi)難恢復(fù)策略的前提。清晰明確的工作量在確定構(gòu)成虛擬池的具體資源之前，很重要的一點(diǎn)是要了解災(zāi)難恢復(fù)的工作量。由于虛擬化的固有弱點(diǎn)，距離可能會受到限制，但地理的多樣性必須被考慮在內(nèi)。該計(jì)劃應(yīng)該包括一份高層認(rèn)可的正式時間表，一份恢復(fù)時資源分配的備選工作計(jì)劃，一個對偏移工作量的日常備份流程，以及一份在備用場地復(fù)原這些工作的經(jīng)過測試的恢復(fù)計(jì)劃。雖然局部的功能測試更容易安排，但卻無法保證測試結(jié)果的真實(shí)性，因此會導(dǎo)致測試的效果大打折扣?；謴?fù)計(jì)劃測試制定虛擬化災(zāi)難恢復(fù)策略非常重要的一點(diǎn)是考慮對計(jì)劃的有效測試。網(wǎng)絡(luò)冗余是指不僅為內(nèi)部用戶，還必須為外部用戶(如客戶、業(yè)務(wù)伙伴、供應(yīng)商等)提供接入。這些要素包括處理器資源(存儲、設(shè)備界面等)、磁盤資源(存儲陣列、存儲場地網(wǎng)絡(luò)SANs、磁盤簇等)、外圍設(shè)備(控制單元、終端、刀片等)、基礎(chǔ)設(shè)施(外部交換機(jī))和網(wǎng)絡(luò)連通性(交換機(jī)、帶寬等)。此外，恢復(fù)過程中有大量的跟進(jìn)工作，這些工作也需要容量。 虛擬化災(zāi)難恢復(fù)策略的要點(diǎn)在使用虛擬化災(zāi)難恢復(fù)策略時需要考慮以下要點(diǎn)：恢復(fù)容量制定虛擬化災(zāi)難恢復(fù)策略的時候很重要的一點(diǎn)是考慮容量。零數(shù)據(jù)丟失是目前要求最高的一種容災(zāi)備份方式，它要求不管什么災(zāi)難發(fā)生，系統(tǒng)都能保證數(shù)據(jù)的安全。這種級別的備份根據(jù)實(shí)際要求和投入資金的多少，又可分為兩種:①兩個數(shù)據(jù)中心之間只限于關(guān)鍵數(shù)據(jù)的相互備份。 第3級:活動備援中心在相隔較遠(yuǎn)的地方分別建立兩個數(shù)據(jù)中心，它們都處于工作狀態(tài)，并進(jìn)行相互數(shù)據(jù)備份。也就是通過網(wǎng)絡(luò)以同步或異步方式，把主站點(diǎn)的數(shù)據(jù)備份到備份站點(diǎn)，備份站點(diǎn)一般只備份數(shù)據(jù)，不承擔(dān)業(yè)務(wù)。為了解決此問題，災(zāi)難發(fā)生時，先恢復(fù)關(guān)鍵數(shù)據(jù)，后恢復(fù)非關(guān)鍵數(shù)據(jù)。這種方案成本低、易于配置。第1級:本地磁帶備份，異地保存 在本地將關(guān)鍵數(shù)據(jù)備份，然后送到異地保存。根據(jù)這些因素和不同的應(yīng)用場合，通?？蓪⑷轂?zāi)備份分為四個等級。在災(zāi)難出現(xiàn)后，遠(yuǎn)程應(yīng)用系統(tǒng)迅速接管或承擔(dān)本地應(yīng)用系統(tǒng)的業(yè)務(wù)運(yùn)行。當(dāng)出現(xiàn)災(zāi)難時，可由異地系統(tǒng)迅速接替本地系統(tǒng)而保證業(yè)務(wù)的連續(xù)性。 根據(jù)容災(zāi)系統(tǒng)對災(zāi)難的抵抗程度，可分為數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。假設(shè)容量、存儲和界面足夠充分可以為每個個體提供相等或更多吞吐量，就可以實(shí)現(xiàn)大量的虛擬機(jī)器恢復(fù)到一個物理點(diǎn)上。隨著時間的推移，對分布式處理恢復(fù)的更大需求越來越明顯和必要。為實(shí)現(xiàn)對硬件的最大化利用，單一物理設(shè)備將被虛擬化為多個分區(qū)，從而實(shí)現(xiàn)對多個環(huán)境進(jìn)行恢復(fù)。虛擬化方法有其獨(dú)特的吸引力，但還需要考慮很多潛在的因素。大量的服務(wù)器、存儲和網(wǎng)絡(luò)集中在一個資源池中管理，并可以按需配置。這第一次證明了虛擬化災(zāi)難恢復(fù)策略的可實(shí)現(xiàn)性。為了幫助解決這些問題，IT服務(wù)提供商引進(jìn)了多企業(yè)共享災(zāi)難恢復(fù)設(shè)施的概念——建設(shè)一個配備各種必需技術(shù)的綜合基礎(chǔ)設(shè)施，它可以被虛擬地劃分為任意大小并進(jìn)行相應(yīng)的配置。除此之外，眾多分布式技術(shù)平臺和安裝在各種層面上的系統(tǒng)軟件不斷出現(xiàn)，而網(wǎng)絡(luò)技術(shù)的發(fā)展也使得“隨時隨地任意互聯(lián)”成為可能。隨著時代的變遷，數(shù)據(jù)中心的工作量不斷膨脹，對第二數(shù)據(jù)中心的管理和協(xié)調(diào)也越來越困難。一個高性價比的容災(zāi)解決方案可以幫助企業(yè)以一定的IT投入獲得最大的產(chǎn)出，同時很好地保護(hù)企業(yè)的業(yè)務(wù)免于災(zāi)難事件的影響。并且，安全管理平臺可以配置成對特定的異常和懷疑的行為進(jìn)行告警，例如當(dāng)有新的機(jī)器進(jìn)入到虛擬的數(shù)據(jù)中心等等。虛擬環(huán)境中的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)隔離充分利用虛擬化軟件提供的功能（虛擬交換機(jī)，虛擬防火墻）妥善段虛擬機(jī)和虛擬網(wǎng)絡(luò)。配置和變更管理對于虛擬化系統(tǒng)的配置和變更管理，對于保證IT系統(tǒng)的準(zhǔn)確性和靈活性有重要的作用。虛擬化服務(wù)器對于它的虛擬化架構(gòu)安全提供了一系列的加固方法，自動化的工具大大的降低了管理工作的負(fù)擔(dān)。所以為了減少未授權(quán)訪問的風(fēng)險，Hypervisor層和管理層必須被“加固”。所有的這些組件，在傳統(tǒng)的數(shù)據(jù)中心都是由物理機(jī)構(gòu)成的。 虛擬化數(shù)據(jù)中心安全組成安全解決方案包括信息安全領(lǐng)域通用的安全措施，同時針對虛擬化的引入，應(yīng)當(dāng)具有特別針對虛擬化提出了相應(yīng)的解決手段，主要包括五部分內(nèi)容：硬件平臺加固對虛擬化總線和管理層進(jìn)行加固，同時遵循虛擬化技術(shù)廠家，互聯(lián)網(wǎng)安全中心（CIS）和信息系統(tǒng)防御組織（DISA）的標(biāo)準(zhǔn)。邏輯化安全策略：在虛擬化環(huán)境中，虛擬化服務(wù)器，虛擬化網(wǎng)絡(luò)端口都可能隨著資源的動態(tài)變化進(jìn)行資源池內(nèi)的漂移，安全策略不能綁定或固定在某一個物理的資源上，必須能夠跟隨虛擬資源進(jìn)行動態(tài)變化。硬件和虛擬化平臺的整合監(jiān)控：對基礎(chǔ)架構(gòu)的安全監(jiān)控不僅僅需要針對物理設(shè)備，且需要對虛擬化資源進(jìn)行監(jiān)控，如虛擬化系統(tǒng)文件，虛擬化網(wǎng)絡(luò)設(shè)備，虛擬化計(jì)算資源池等，做到確保計(jì)算平臺環(huán)境的安全。 在此，基于 RBAC 的角色分離應(yīng)該有助于確保那些具有管理訪問權(quán)限的用戶不能同時具有篡改管理操作證據(jù)的能力。這包括監(jiān)控對虛擬機(jī)映像存儲資源的訪問。 環(huán)境監(jiān)控非常重要，尤其是監(jiān)控管理訪問和操作，包括授權(quán)和未經(jīng)授權(quán)的訪問與操作。對于 VMware vCenter，它的 Custom Roles 功能提供了一種根據(jù)角色定義和分離管理權(quán)限的內(nèi)置方法。216。 管理訪問權(quán)限應(yīng)該盡可能與個人責(zé)任聯(lián)系在一起。 如果授權(quán)管理訪問權(quán)限，應(yīng)該適用最低權(quán)限原則。 管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該相互隔離，以限制可能造成對管理功能未經(jīng)授權(quán)訪問的風(fēng)險。 限制對正在運(yùn)行 vCenter 的主機(jī)的管理訪問。例如，VMware vCenter 提供了對 VMware 環(huán)境的集中管理，因此必須小心部署。216。216。 在大多數(shù)情況下，應(yīng)該隔離客戶虛擬機(jī)之間的網(wǎng)絡(luò)通信。 網(wǎng)絡(luò)分段拓展了虛擬化環(huán)境的維度，因?yàn)槊總€客戶虛擬機(jī)都具有各自與虛擬主機(jī)外部的物理和邏輯網(wǎng)絡(luò)拓?fù)涞倪B接和在主機(jī)自身內(nèi)部的連接。這包括物理主機(jī)配置、管理程序的配置和每個客戶虛擬機(jī)的配置。216。216。216。216。216。保護(hù)管理控制安全總是隱含在適用于虛擬和物理環(huán)境的基本安全原則中。但是目前國內(nèi)的很多用戶在實(shí)施自己的虛擬化數(shù)據(jù)中心的時候，過多的考慮了虛擬化技術(shù)的實(shí)現(xiàn)，而對于構(gòu)建一個安全可靠地數(shù)據(jù)中心并沒有什么考慮，甚至不知道怎么去實(shí)現(xiàn)虛擬化數(shù)據(jù)中心的安全性。 響應(yīng)時間:定義收到請求后進(jìn)行響應(yīng)的時間 虛擬化數(shù)據(jù)中心安全虛擬化技術(shù)帶來的好處不言而喻，它可以使企業(yè)對硬件資源進(jìn)行有效地整合，并且可以在單一的硬件上運(yùn)行多個虛擬機(jī)，不同操作系統(tǒng)，不同應(yīng)用的虛擬機(jī)都可以運(yùn)行在同一臺物理機(jī)上，因此優(yōu)化了硬件的利用率。 配置，容量，變更管理更新虛擬機(jī)生命周期屬性參考虛擬機(jī)請求日期，虛擬機(jī)創(chuàng)建日期，虛擬機(jī)過期日期，虛擬機(jī)狀態(tài)（請求，建立，活動，刪除等），虛擬機(jī)擁有者等虛擬化資源的服務(wù)交付和流程圖（圖虛擬化資源服務(wù)交付流程圖）：圖虛擬化資源服務(wù)交付流程圖虛擬化資源生命周期管理KPI216。 資源的運(yùn)行維護(hù)，狀態(tài)監(jiān)控216。 建立虛擬化資源服務(wù)目錄216。虛擬化資源的服務(wù)交付和支持過程圖虛擬化資源生命周期管理流程建立：虛擬化資源生命周期管理流程內(nèi)容包括：216。 收費(fèi)結(jié)算h) 生命周期管理為了保證向用戶交付滿足