通过 PowerVM Hypervisor 保证整合系统的安全.PDFVIP

通过 PowerVM Hypervisor 保证整合系统的安全 Ryan Rhodes 2011 年 12 月 20 日 新闻编辑 IBM Systems Magazine 今秋发布的 PowerSC 必将成为一个重要的产品，其中最大的亮点是针对在虚拟与云环境中运行 AIX 的 Power Systems 服务器的新安全性解决方案。然而，它对于进一步研究其他高级 PowerVM Hypervisor 安全特性具有指导意义，这些安全特性使客户能够保护其更广泛的 IT 基础架构。所 有的 Power Systems 安全特性，无论是历史悠久的还是相对较新的，均构建在现有的 PowerVM Hypervisor 和架构的坚固基础上。 IBM Power Systems Software 安全架构设计师 Shawn Mullen 表示：“在设计和构造 PowerVM 技术 时，从一开始我们就考虑到了安全性，从芯片到固件如何与其接口，再到管理程序，一直到操作系 统，自上而下的各个级别都考虑到了安全性架构。随着新安全特性的推出，重要的一点是需谨记它 们都是基于 PowerVM 技术的坚固安全性基础”。 用于整合的安全系统 随着全球的数据中心都继续朝着向服务器和系统整合的趋势发展，一些公司都挣扎于一个平台上容 纳多个虚拟服务器这一内在的安全性现实。 随着昔日不断蔓延的数据中心复杂性（其中有许多现在依然存在），独立的计算机和服务器被物理 空间隔离开。这形成了所谓的气隙（air-gap）安全：如果一个系统被攻破，黑客或恶意程序很难甚 至几乎不能跳到相邻的系统。 然而，服务器整合融合了这些独立的系统，将其移动到一个虚拟分隔的单一物理平台上。各个系统 依然存在，拥有自己的应用程序、操作系统等，然而，它们都在同一台设备上。尽管优势非常明 显，但是整合后的系统会导致安全问题。客户通常寻求一种保证，即：一个虚拟系统上的恶意路由 不能在另一个相邻的虚拟系统上使用。在这方面，PowerVM Hypervisor 级的 Power Systems 服务器 是解除此类顾虑的理想选择。 Mullen 表示：“这正是讨论我们的管理程序及其保证安全隔离功能的切入点，还强调了我们的整个固 件都具有强大的安全性架构，能够保证所有的操作系统都隔离开，并进行了配置，当一个虚拟机遭 到破坏时相邻的虚拟机不会被损坏”。 © 版权所有 IBM 公司 2011 商标 通过 PowerVM Hypervisor 保证整合系统的安全 第 1 页，共 5 developerWorks® /developerWorks/cn/ IBM PowerVM Hypervisor 高级技术人员 Pete Heyrman 补充道：“许多客户倾向于把目光投向整合解 决方案，因此，我们一直针对大部分的安全性工作。我们致力于确保虚拟机隔离坚如磐石，使客户 能够采用许多单独的服务器，将其合并到一个更大的服务器，并仍然保持其安全性。” 据 Mullen 所述，客户还表示了对整合给系统管理领域带来的安全性担忧。对整合后的系统的管理 不同于独立物理单元网络。在独立服务器的分散环境中，每个系统都分配了自己的管理员，这些管 理员只能访问该系统及其组件（例如：数据库）。系统之间清晰的运行隔离度由于虚拟化而变得模 糊。虚拟系统管理员可能影响在同一系统上运行的任何客户操作系统。Power Systems 技术再次解决 了这一安全性问题。 Mullen 表示：“我们管理虚拟系统的方式是通过 HMC（硬件管理控制台），在其中我们部署了大量 的 RBAC（基于角色的访问控制），这可以允许管理员访问 HMC，但是他或她只能影响到分配给自 己的客户操作系统的配置。这样，当客户将物理系统迁移到效率更高、更具成本效益的整合虚拟环 境时，能够保持其运行流程、任务和职责”。 Hypervisor：完美的安全记录 : 虽然 PowerVM 技术是向 Power Systems 客户提供企业级虚拟功能的引擎，然而 PowerVM Hypervisor 是协调和管理系统虚拟化的执行程序，提供无与伦比的强大的安全性。PowerVM 技术和管理程序配 合地相当默契，因为它们是一起设计和架构的。