在企业实际的虚拟化利用过程中,需要遵守以下一些有效的建议:
◆假定有的话,用户应当确认云平台供给商利用的虚拟化类型;
◆实施者应当考虑经由过程度区的编制将出产环境与测试/开辟和高度敏感数据/营业分手;
◆因为机能差别很大年夜,实施者在测试和安装虚拟机安然东西时应当考虑机能标题问题。考虑具有虚拟化感知能力的办事器和收集安然东西也一样首要;
◆在虚拟化的环境顶用户应当与首要的供给商评估、协商并且完美许可和谈;
◆经由过程在每个访客实例中采取硬化软件或具有基于Hypervisor的API的内嵌虚拟机,实施者应当保障每个虚拟化的把持系统的安然;
◆虚拟化的把持系统应当附加内置的安然办法,充分操纵第三方安然手艺实现分层的安然节制,削减对平台供给商的纯真依托;
◆施者应当确保在默许建设下安然办法达到或超越现行业界基准程度;
◆实施者应当对不在利用中的虚拟机镜像进行加密;
◆经由过程在分手的物理硬件诸如办事器,存储等设备上标识数据的利用(好比桌面vs.办事器),出产阶段(好比研发,出产,和测试)和敏感度,实施者应当探访对虚拟机的隔离和成立安然区的结果和可行性;
◆实施者应当确保安然缝隙评估东西和办事能笼盖到所采取的虚拟化手艺;
◆实施者应当考虑在全部组织内采取数据主动发现和标签方案(好比DLP数据泄漏呵护),以此增加虚拟机和环境间的数据分类和节制;
◆实施者应当考虑对非工作状况的虚拟机镜像进行补丁把持或对方才运行的虚拟机采纳其它呵护办法,直到他们被打上补丁;
◆实施者应当大白在虚拟机的外部采取何种合适的安然节制来呵护面向用户的治理接口(例如基于Web或API的);
◆必需采取内嵌于Hypervisor API的虚拟机特定安然机制对虚拟机背板间的流量进行细粒度监控,(这些流量)对传统的收集安然节制是不成见的;
◆为了应对虚拟化带来的新的安然挑战,实施者必需更新安然策略;
◆实施者必需经由过程基于策略的密钥办事器对虚拟机拜候的数据进行加密,存储密钥的办事器与虚拟机和数据隔离;
◆用户必需意想到虚拟机处于多租户环境下,监管可能要求包管虚拟机的隔离;
◆用户必需验证来自肆意第三方的虚拟机镜像或模板的来历和完全性,或更好的话成立本身的虚拟机实例;
◆虚拟化的把持系统必需包含防火墙(进口/出口)、主机进侵防御系统(HIPS)、收集进侵防御系统(NIPS)、web利用呵护、防病毒、文件完全性检测和日记检测等。安然对策可以经由过程每个访客虚拟实例或具有基于Hypervisor的API的内嵌虚拟机中的软件来传递;对虚拟机个别实施恰当的加固和呵护包含防火墙(进站/出站),主机进侵防御系统(HIPS),网站利用层呵护,防病毒,文件完全性监控和日记监控等都可透过软件向每个虚拟机客户供给,或操纵内嵌的虚拟机与基于Hypervisor API协同供给;
◆供给商删除虚拟机镜像时必需清空所有的备份和掉效备援(failover)系统;
◆供给商必需具有陈述机制。假定有隔离被冲破时,陈述机制可以供给隔离的证据并发出告警。