數(shù)據(jù)中心如何配置安全的運(yùn)程管理服務(wù)

2013-10-23 15:35:51 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

機(jī)房的門(mén)緊鎖著，網(wǎng)絡(luò)的大門(mén)卻敞開(kāi)著。遠(yuǎn)程管理已經(jīng)成為了數(shù)據(jù)中心日常運(yùn)維的主要途徑，但傳統(tǒng)的遠(yuǎn)程管理方法總是一盤(pán)散沙，服務(wù)器、網(wǎng)絡(luò)設(shè)備、電源監(jiān)控、溫濕度控制等等這些，都是各自為政。由于對(duì)這些遠(yuǎn)程管理措施無(wú)法進(jìn)行統(tǒng)一的安全管控，當(dāng)一個(gè)端點(diǎn)失控的時(shí)候，對(duì)管理來(lái)說(shuō)可能就是一次末世災(zāi)難。

　　遠(yuǎn)程管理風(fēng)險(xiǎn)知多少？　　在經(jīng)歷了數(shù)據(jù)大集中之后，許多企業(yè)都加大了數(shù)據(jù)中心的管理力度，以求降低了經(jīng)營(yíng)風(fēng)險(xiǎn)。作為數(shù)據(jù)中心電源管理、基礎(chǔ)架構(gòu)管理、KVM 和串口解決方案所公認(rèn)的創(chuàng)新企業(yè)，美國(guó)力登公司（Raritan）認(rèn)為：“由于運(yùn)維對(duì)象的管理特征各不相同，在遠(yuǎn)程管理時(shí)很多數(shù)據(jù)中心采取了多套遠(yuǎn)程管理系統(tǒng)，不但日常維護(hù)操作復(fù)雜，還存在著密碼泄露，操作人員無(wú)法審計(jì)等一系列的難題。、數(shù)據(jù)通信安全、基礎(chǔ)設(shè)施的實(shí)時(shí)監(jiān)控，以及電力成本過(guò)大等一系列的問(wèn)題，都會(huì)增加數(shù)據(jù)中心的日常運(yùn)維難度。”

　　以服務(wù)器和網(wǎng)絡(luò)設(shè)備為例，如果這些設(shè)備出現(xiàn)問(wèn)題，網(wǎng)絡(luò)就失去了生命，同時(shí)這些設(shè)備也是遠(yuǎn)程管理中最為頻繁的對(duì)象。例如，很多管理員習(xí)慣使用遠(yuǎn)程桌面，或者更熟練的使用SSH等配置工具。但由于這些服務(wù)存在著公認(rèn)的漏洞，協(xié)議端口一旦暴露到網(wǎng)絡(luò)上，常常會(huì)遭到掃描和密碼暴力破解的攻擊。除了應(yīng)用層的遠(yuǎn)程管理漏洞之外，許多管理員認(rèn)為采用串口的網(wǎng)絡(luò)設(shè)備是相對(duì)安全的，但事實(shí)恰恰相反。比如路由器，交換機(jī)，防火墻等設(shè)備，如果都采用串口進(jìn)行管理，也就無(wú)遠(yuǎn)程管理可談了。所以，勢(shì)必要利用Telnet服務(wù)，或者開(kāi)啟Web管理功能，這些大量的、分散的，品牌雜亂的串口設(shè)備，同樣無(wú)法抵抗住網(wǎng)絡(luò)嗅探，暴力破解密碼，以及針對(duì)內(nèi)核漏洞的黑客攻擊。并且，當(dāng)鏈路出現(xiàn)問(wèn)題時(shí)，網(wǎng)絡(luò)瀏覽器、RDP、VNC、SSH 和 Telnet 等帶內(nèi)管理（in-band）軟件解決方案都無(wú)法對(duì)出現(xiàn)故障的網(wǎng)絡(luò)設(shè)備進(jìn)行深層次的管理。那些身在外地的管理人員和設(shè)備維護(hù)人員，都無(wú)法第一時(shí)間通過(guò)網(wǎng)絡(luò)進(jìn)行故障排查，這會(huì)對(duì)生產(chǎn)造成重大的損失！　�無(wú)縫融合遠(yuǎn)程管理可以做的更多　　數(shù)據(jù)中心體系逐步建立起來(lái)，但風(fēng)險(xiǎn)也隨之膨脹。誰(shuí)都清楚，多一份應(yīng)用就會(huì)多一份風(fēng)險(xiǎn)，當(dāng)你面對(duì)不能觸手可及的東西時(shí)，你的命運(yùn)就可能掌握在別人手里了。因此，一套完整的遠(yuǎn)程管理方案，不但要能控制每個(gè)設(shè)備，更重要的這條通道要更具有便捷性和安全性共存的雙重任務(wù)。為了方便管理各種廠商的機(jī)架式服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、電力系統(tǒng)、溫濕度監(jiān)控，以及將最新的虛擬化技術(shù)和資產(chǎn)管理相結(jié)合，力登公司推出了全面提升數(shù)據(jù)中遠(yuǎn)程管理的安全網(wǎng)關(guān)CommandCenter Secure Gateway，簡(jiǎn)稱(chēng)CC-SG。

　　在管理方面，IT 管理員可以通過(guò)單一的 Web 瀏覽器界面遠(yuǎn)程管理各種虛擬和物理的 IT 基礎(chǔ)結(jié)構(gòu)。例如：針對(duì)服務(wù)器管理員，通過(guò) Dominion KX II KVM-over-IP 切換器或服務(wù)處理器（如iLO、DRAC、RSA）對(duì)刀片式機(jī)架服務(wù)器進(jìn)行帶外 BIOS 級(jí)別的訪問(wèn)。值得一提的是，針對(duì)數(shù)據(jù)中心服務(wù)器虛擬化的管理需求，CC-SG增加了獨(dú)有的虛擬化管理工具，CC-SG 集成了 VMware 環(huán)境，能夠支持與虛擬中心軟件、ESX 服務(wù)器和 VMotion 功能的連接，并提供了BIOS 級(jí)別的訪問(wèn)。新的虛擬化功能包括簡(jiǎn)化的虛擬化環(huán)境單點(diǎn)登錄 (Single Sign On) 訪問(wèn)設(shè)置，并且可向虛擬主機(jī)發(fā)出虛擬電源命令的能力，以及通過(guò)單次點(diǎn)擊即可連接查看拓?fù)湟晥D的功能。

　　在安全方面，由于CC-SG 可以將各種采用Telnet、RDP以及串口設(shè)備統(tǒng)一接入到操作臺(tái)上，并采用單獨(dú)的網(wǎng)絡(luò)通道，這為各種服務(wù)器、存儲(chǔ)設(shè)備、交換機(jī)、防火墻、路由器和負(fù)責(zé)電力接入的PDU都提供集中式的訪問(wèn)通道。同時(shí)，在 CC-SG 上可創(chuàng)建和存儲(chǔ)采用 MD5 雙向加密的服務(wù)帳戶密碼，用于所有帶內(nèi)界面的遠(yuǎn)程或本地驗(yàn)證。當(dāng)然，這些賬戶的操作信息都會(huì)被CC-SG記錄下來(lái)，并提供了詳細(xì)的審核跟蹤報(bào)告。這些安全措施，都為企業(yè)構(gòu)建新一代安全保障系統(tǒng)起到了支撐作用，并對(duì)數(shù)據(jù)中心的物理架構(gòu)、虛擬架構(gòu)、以及云架構(gòu)都提供了安全的遠(yuǎn)程訪問(wèn)通道。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊