數據中心如何配置安全的運程管理服務

2013-10-23 15:35:51 大云網　點擊量：評論 (0)

機房的門緊鎖著，網絡的大門卻敞開著。遠程管理已經成為了數據中心日常運維的主要途徑，但傳統的遠程管理方法總是一盤散沙，服務器、網絡設備、電源監控、溫濕度控制等等這些，都是各自為政。由于對這些遠程管理

機房的門緊鎖著，網絡的大門卻敞開著。遠程管理已經成為了數據中心日常運維的主要途徑，但傳統的遠程管理方法總是一盤散沙，服務器、網絡設備、電源監控、溫濕度控制等等這些，都是各自為政。由于對這些遠程管理措施無法進行統一的安全管控，當一個端點失控的時候，對管理來說可能就是一次末世災難。

　　遠程管理風險知多少？　　在經歷了數據大集中之后，許多企業都加大了數據中心的管理力度，以求降低了經營風險。作為數據中心電源管理、基礎架構管理、KVM 和串口解決方案所公認的創新企業，美國力登公司（Raritan）認為：“由于運維對象的管理特征各不相同，在遠程管理時很多數據中心采取了多套遠程管理系統，不但日常維護操作復雜，還存在著密碼泄露，操作人員無法審計等一系列的難題。、數據通信安全、基礎設施的實時監控，以及電力成本過大等一系列的問題，都會增加數據中心的日常運維難度。”

　　以服務器和網絡設備為例，如果這些設備出現問題，網絡就失去了生命，同時這些設備也是遠程管理中最為頻繁的對象。例如，很多管理員習慣使用遠程桌面，或者更熟練的使用SSH等配置工具。但由于這些服務存在著公認的漏洞，協議端口一旦暴露到網絡上，常常會遭到掃描和密碼暴力破解的攻擊。除了應用層的遠程管理漏洞之外，許多管理員認為采用串口的網絡設備是相對安全的，但事實恰恰相反。比如路由器，交換機，防火墻等設備，如果都采用串口進行管理，也就無遠程管理可談了。所以，勢必要利用Telnet服務，或者開啟Web管理功能，這些大量的、分散的，品牌雜亂的串口設備，同樣無法抵抗住網絡嗅探，暴力破解密碼，以及針對內核漏洞的黑客攻擊。并且，當鏈路出現問題時，網絡瀏覽器、RDP、VNC、SSH 和 Telnet 等帶內管理（in-band）軟件解決方案都無法對出現故障的網絡設備進行深層次的管理。那些身在外地的管理人員和設備維護人員，都無法第一時間通過網絡進行故障排查，這會對生產造成重大的損失！　�無縫融合遠程管理可以做的更多　　數據中心體系逐步建立起來，但風險也隨之膨脹。誰都清楚，多一份應用就會多一份風險，當你面對不能觸手可及的東西時，你的命運就可能掌握在別人手里了。因此，一套完整的遠程管理方案，不但要能控制每個設備，更重要的這條通道要更具有便捷性和安全性共存的雙重任務。為了方便管理各種廠商的機架式服務器、存儲設備、網絡設備、電力系統、溫濕度監控，以及將最新的虛擬化技術和資產管理相結合，力登公司推出了全面提升數據中遠程管理的安全網關CommandCenter Secure Gateway，簡稱CC-SG。

　　在管理方面，IT 管理員可以通過單一的 Web 瀏覽器界面遠程管理各種虛擬和物理的 IT 基礎結構。例如：針對服務器管理員，通過 Dominion KX II KVM-over-IP 切換器或服務處理器（如iLO、DRAC、RSA）對刀片式機架服務器進行帶外 BIOS 級別的訪問。值得一提的是，針對數據中心服務器虛擬化的管理需求，CC-SG增加了獨有的虛擬化管理工具，CC-SG 集成了 VMware 環境，能夠支持與虛擬中心軟件、ESX 服務器和 VMotion 功能的連接，并提供了BIOS 級別的訪問。新的虛擬化功能包括簡化的虛擬化環境單點登錄 (Single Sign On) 訪問設置，并且可向虛擬主機發出虛擬電源命令的能力，以及通過單次點擊即可連接查看拓撲視圖的功能。

　　在安全方面，由于CC-SG 可以將各種采用Telnet、RDP以及串口設備統一接入到操作臺上，并采用單獨的網絡通道，這為各種服務器、存儲設備、交換機、防火墻、路由器和負責電力接入的PDU都提供集中式的訪問通道。同時，在 CC-SG 上可創建和存儲采用 MD5 雙向加密的服務帳戶密碼，用于所有帶內界面的遠程或本地驗證。當然，這些賬戶的操作信息都會被CC-SG記錄下來，并提供了詳細的審核跟蹤報告。這些安全措施，都為企業構建新一代安全保障系統起到了支撐作用，并對數據中心的物理架構、虛擬架構、以及云架構都提供了安全的遠程訪問通道。