數(shù)據(jù)中心如何配置安全的運程管理服務(wù)

2013-10-23 15:35:51 大云網(wǎng)　點擊量：評論 (0)

機房的門緊鎖著，網(wǎng)絡(luò)的大門卻敞開著。遠程管理已經(jīng)成為了數(shù)據(jù)中心日常運維的主要途徑，但傳統(tǒng)的遠程管理方法總是一盤散沙，服務(wù)器、網(wǎng)絡(luò)設(shè)備、電源監(jiān)控、溫濕度控制等等這些，都是各自為政。由于對這些遠程管理

　　遠程管理風(fēng)險知多少？　　在經(jīng)歷了數(shù)據(jù)大集中之后，許多企業(yè)都加大了數(shù)據(jù)中心的管理力度，以求降低了經(jīng)營風(fēng)險。作為數(shù)據(jù)中心電源管理、基礎(chǔ)架構(gòu)管理、KVM 和串口解決方案所公認的創(chuàng)新企業(yè)，美國力登公司（Raritan）認為：“由于運維對象的管理特征各不相同，在遠程管理時很多數(shù)據(jù)中心采取了多套遠程管理系統(tǒng)，不但日常維護操作復(fù)雜，還存在著密碼泄露，操作人員無法審計等一系列的難題。、數(shù)據(jù)通信安全、基礎(chǔ)設(shè)施的實時監(jiān)控，以及電力成本過大等一系列的問題，都會增加數(shù)據(jù)中心的日常運維難度。”

　　以服務(wù)器和網(wǎng)絡(luò)設(shè)備為例，如果這些設(shè)備出現(xiàn)問題，網(wǎng)絡(luò)就失去了生命，同時這些設(shè)備也是遠程管理中最為頻繁的對象。例如，很多管理員習(xí)慣使用遠程桌面，或者更熟練的使用SSH等配置工具。但由于這些服務(wù)存在著公認的漏洞，協(xié)議端口一旦暴露到網(wǎng)絡(luò)上，常常會遭到掃描和密碼暴力破解的攻擊。除了應(yīng)用層的遠程管理漏洞之外，許多管理員認為采用串口的網(wǎng)絡(luò)設(shè)備是相對安全的，但事實恰恰相反。比如路由器，交換機，防火墻等設(shè)備，如果都采用串口進行管理，也就無遠程管理可談了。所以，勢必要利用Telnet服務(wù)，或者開啟Web管理功能，這些大量的、分散的，品牌雜亂的串口設(shè)備，同樣無法抵抗住網(wǎng)絡(luò)嗅探，暴力破解密碼，以及針對內(nèi)核漏洞的黑客攻擊。并且，當(dāng)鏈路出現(xiàn)問題時，網(wǎng)絡(luò)瀏覽器、RDP、VNC、SSH 和 Telnet 等帶內(nèi)管理（in-band）軟件解決方案都無法對出現(xiàn)故障的網(wǎng)絡(luò)設(shè)備進行深層次的管理。那些身在外地的管理人員和設(shè)備維護人員，都無法第一時間通過網(wǎng)絡(luò)進行故障排查，這會對生產(chǎn)造成重大的損失！　�無縫融合遠程管理可以做的更多　　數(shù)據(jù)中心體系逐步建立起來，但風(fēng)險也隨之膨脹。誰都清楚，多一份應(yīng)用就會多一份風(fēng)險，當(dāng)你面對不能觸手可及的東西時，你的命運就可能掌握在別人手里了。因此，一套完整的遠程管理方案，不但要能控制每個設(shè)備，更重要的這條通道要更具有便捷性和安全性共存的雙重任務(wù)。為了方便管理各種廠商的機架式服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、電力系統(tǒng)、溫濕度監(jiān)控，以及將最新的虛擬化技術(shù)和資產(chǎn)管理相結(jié)合，力登公司推出了全面提升數(shù)據(jù)中遠程管理的安全網(wǎng)關(guān)CommandCenter Secure Gateway，簡稱CC-SG。

　　在管理方面，IT 管理員可以通過單一的 Web 瀏覽器界面遠程管理各種虛擬和物理的 IT 基礎(chǔ)結(jié)構(gòu)。例如：針對服務(wù)器管理員，通過 Dominion KX II KVM-over-IP 切換器或服務(wù)處理器（如iLO、DRAC、RSA）對刀片式機架服務(wù)器進行帶外 BIOS 級別的訪問。值得一提的是，針對數(shù)據(jù)中心服務(wù)器虛擬化的管理需求，CC-SG增加了獨有的虛擬化管理工具，CC-SG 集成了 VMware 環(huán)境，能夠支持與虛擬中心軟件、ESX 服務(wù)器和 VMotion 功能的連接，并提供了BIOS 級別的訪問。新的虛擬化功能包括簡化的虛擬化環(huán)境單點登錄 (Single Sign On) 訪問設(shè)置，并且可向虛擬主機發(fā)出虛擬電源命令的能力，以及通過單次點擊即可連接查看拓撲視圖的功能。

　　在安全方面，由于CC-SG 可以將各種采用Telnet、RDP以及串口設(shè)備統(tǒng)一接入到操作臺上，并采用單獨的網(wǎng)絡(luò)通道，這為各種服務(wù)器、存儲設(shè)備、交換機、防火墻、路由器和負責(zé)電力接入的PDU都提供集中式的訪問通道。同時，在 CC-SG 上可創(chuàng)建和存儲采用 MD5 雙向加密的服務(wù)帳戶密碼，用于所有帶內(nèi)界面的遠程或本地驗證。當(dāng)然，這些賬戶的操作信息都會被CC-SG記錄下來，并提供了詳細的審核跟蹤報告。這些安全措施，都為企業(yè)構(gòu)建新一代安全保障系統(tǒng)起到了支撐作用，并對數(shù)據(jù)中心的物理架構(gòu)、虛擬架構(gòu)、以及云架構(gòu)都提供了安全的遠程訪問通道。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊