您的位置: 网界网 > 网络学院-数据中心 > 正文

数据中心如何配置安全的远程管理服务 ?

2013年07月18日 17:07:41 | 作者:佚名 | 来源:51CTO

摘要:由于运维对象的管理特征各不相同,在远程管理时很多数据中心采取了多套远程管理系统,不但日常维护操作复杂,还存在着密码泄露,操作人员无法审计等一系列的难题。

标签
数据中心

机房的门紧锁着,网络的大门却敞开着。远程管理已经成为了数据中心日常运维的主要途径,但传统的远程管理方法总是一盘散沙,服务器、网络设备、电源监控、温湿度控制等等这些,都是各自为政。由于对这些远程管理措施无法进行统一的安全管控,当一个端点失控的时候,对管理来说可能就是一次末世灾难。

远程管理风险知多少?

在经历了数据大集中之后,许多企业都加大了数据中心的管理力度,以求降低了经营风险。作为数据中心电源管理、基础架构管理、KVM 和串口解决方案所公认的创新企业,美国力登公司(Raritan)认为:“由于运维对象的管理特征各不相同,在远程管理时很多数据中心采取了多套远程管理系统,不但日常维护操作复杂,还存在着密码泄露,操作人员无法审计等一系列的难题。数据通信安全、基础设施的实时监控,以及电力成本过大等一系列的问题,都会增加数据中心的日常运维难度。”

以服务器和网络设备为例,如果这些设备出现问题,网络就失去了生命,同时这些设备也是远程管理中最为频繁的对象。例如,很多管理员习惯使用远程桌面,或者更熟练的使用SSH等配置工具。但由于这些服务存在着公认的漏洞,协议端口一旦暴露到网络上,常常会遭到扫描和密码暴力破解的攻击。除了应用层的远程管理漏洞之外,许多管理员认为采用串口的网络设备是相对安全的,但事实恰恰相反。比如路由器,交换机,防火墙等设备,如果都采用串口进行管理,也就无远程管理可谈了。所以,势必要利用Telnet服务,或者开启Web管理功能,这些大量的、分散的,品牌杂乱的串口设备,同样无法抵抗住网络嗅探,暴力破解密码,以及针对内核漏洞的黑客攻击。并且,当链路出现问题时,网络浏览器、RDP、VNC、SSH 和 Telnet 等带内管理(in-band)软件解决方案都无法对出现故障的网络设备进行深层次的管理。那些身在外地的管理人员和设备维护人员,都无法第一时间通过网络进行故障排查,这会对生产造成重大的损失!

无缝融合 远程管理可以做的更多

数据中心体系逐步建立起来,但风险也随之膨胀。谁都清楚,多一份应用就会多一份风险,当你面对不能触手可及的东西时,你的命运就可能掌握在别人手里了。因此,一套完整的远程管理方案,不但要能控制每个设备,更重要的这条通道要更具有便捷性和安全性共存的双重任务。为了方便管理各种厂商的机架式服务器、存储设备、网络设备、电力系统、温湿度监控,以及将最新的虚拟化技术和资产管理相结合,力登公司推出了全面提升数据中远程管理的安全网关CommandCenter Secure Gateway,简称CC-SG。

在管理方面,IT 管理员可以通过单一的 Web 浏览器界面远程管理各种虚拟和物理的 IT 基础结构。例如:针对服务器管理员,通过 Dominion KX II KVM-over-IP 切换器或服务处理器(如iLO、DRAC、RSA)对刀片式机架服务器进行带外 BIOS 级别的访问。值得一提的是,针对数据中心服务器虚拟化的管理需求,CC-SG增加了独有的虚拟化管理工具,CC-SG 集成了 VMware 环境,能够支持与虚拟中心软件、ESX 服务器和 VMotion 功能的连接,并提供了BIOS 级别的访问。新的虚拟化功能包括简化的虚拟化环境单点登录 (Single Sign On) 访问设置,并且可向虚拟主机发出虚拟电源命令的能力,以及通过单次点击即可连接查看拓扑视图的功能。

在安全方面,由于CC-SG 可以将各种采用Telnet、RDP以及串口设备统一接入到操作台上,并采用单独的网络通道,这为各种服务器、存储设备、交换机、防火墙、路由器和负责电力接入的PDU都提供集中式的访问通道。同时,在 CC-SG 上可创建和存储采用 MD5 双向加密的服务帐户密码,用于所有带内界面的远程或本地验证。当然,这些账户的操作信息都会被CC-SG记录下来,并提供了详细的审核跟踪报告。这些安全措施,都为企业构建新一代安全保障系统起到了支撑作用,并对数据中心的物理架构、虚拟架构、以及云架构都提供了安全的远程访问通道。

[责任编辑:白海亮 bai_hailiang@cnw.com.cn]

我也说几句

热点排行