Revise las consideraciones de seguridad para SCSI virtual, Ethernet virtual y adaptador Ethernet compartido, así como las opciones de seguridad adicionales disponibles.
Un plan de diseño de seguridad del sistema para el servidor de E/S virtual implica tener en cuenta las funciones de seguridad estándar descritas en las secciones siguientes. Luego, hay que determinar si hacen falta controles de seguridad adicionales. En tal caso, piense en la posibilidad de utilizar las funciones de seguridad del VIOS descritas en el tema Protección del servidor de E/S virtual.
Las mejoras en la arquitectura realizadas en el diseño del sistema servidor POWER5 permiten el compartimiento y la comunicación entre dispositivos de particiones cruzadas. Funciones como LPAR dinámico, procesadores compartidos, redes virtuales, almacenamiento virtual y gestión de carga de trabajo exigen mecanismos para asegurarse de que se cumplen los requisitos de seguridad del sistema. Las particiones cruzadas y la virtualización están pensadas para no presentar más riesgos para la seguridad de los que implica la función. Por ejemplo, una conexión LAN virtual tendrá las mismas consideraciones de seguridad que una conexión de red física. Piense detenidamente cómo utilizar las funciones de virtualización de las particiones cruzadas en entornos de alta seguridad. La visibilidad entre particiones debe habilitarse intencionalmente mediante opciones administrativas de configuración del sistema.
Utilizar SCSI virtual en el servidor de E/S virtual permite que el servidor de E/S virtual proporciona almacenamiento a las particiones de cliente. Sin embargo, en vez de SCSI o fibra óptica, de la conexión para esta función se encarga el firmware. Los controladores de dispositivos SCSI virtual del servidor de E/S virtual y el firmware garantizan que solamente el administrador del sistema del servidor de E/S virtual controla qué particiones pueden acceder a los datos de los dispositivos de almacenamiento del servidor de E/S virtual. Por ejemplo, una partición de cliente que tiene acceso al volumen lógico lv001 exportado por la partición del servidor de E/S virtual no puede acceder a lv002, aunque esté en el mismo grupo de volúmenes.
De forma parecida a SCSI virtual, el firmware también proporciona la conexión entre particiones cuando se utiliza un adaptador Ethernet virtual. El firmware ofrece funciones de conmutador Ethernet. La conexión con la red externa la proporciona la función del adaptador Ethernet compartido en el servidor de E/S virtual. Esta parte del servidor de E/S virtual actúa como un puente de capa 2 con los adaptadores físicos. En cada trama Ethernet se inserta un indicador de ID de VLAN. El conmutador Ethernet restringe las tramas a los puertos autorizados para recibir tramas con ese ID de VLAN. Cada puerto de un conmutador Ethernet puede configurarse para que sea miembro de varias VLAN. Las tramas sólo las pueden recibir los adaptadores de red, tanto virtuales como físicos, conectados a un puerto (virtual o físico) perteneciente a la misma VLAN. La implementación de este estándar VLAN garantiza que las particiones no puedan acceder a datos restringidos.