Informations de sécurité relatives à l'interface interface SCSI virtuelle, à la carte de réseau Ethernet virtuelle, à la carte de réseau Ethernet partagée et aux options de sécurité supplémentaires disponibles.
Un plan de conception de la sécurité du système du serveur d'E-S virtuel nécessite de prendre en compte les dispositifs de sécurité standard décrits dans les sections suivantes. Déterminez ensuite si des contrôles de sécurité supplémentaires sont nécessaires. Si tel est le cas, vous devez utiliser les dispositifs de sécurité VIOS décrits dans Sécurisation du serveur d'E-S virtuel.
Les améliorations apportées à l'architecture du serveur POWER5 permettent le partage et la communication des unités d'une partition à l'autre. Les fonctions, telles que les partitions logiques (LPAR) dynamiques, les processeurs partagés, les réseaux virtuels, la mémoire virtuelle et la gestion des charges de travail, nécessitent toutes des fonctionnalités permettant de s'assurer que les exigences de sécurité système sont respectées. Les fonctions de virtualisation et d'opérations entre partitions sont conçues de manière à ne pas mettre en péril la sécurité au-delà de ce qui est nécessaire. Par exemple, une connexion de réseau local (LAN) virtuelle aura les mêmes exigences en matière de sécurité qu'une connexion de réseau physique. Soyez particulièrement vigilant lorsque vous utilisez des fonctions de virtualisation entre partitions dans les environnements présentant une sécurité élevée. Toute visibilité entre partitions doit être activée sciemment et doit être le résultat de choix de configuration système de l'administrateur.
L'utilisation de l'interface SCSI virtuelle sur le serveur d'E-S virtuel permet à ce dernier de fournir une solution de stockage aux partitions client. Cependant, au lieu d'être établie via des câbles SCSI ou optiques, la connexion pour cette fonctionnalité est établie par le microprogramme. Les pilotes de périphérique de l'interface SCSI virtuelle du serveur d'E-S virtuel et le microprogramme permettent de s'assurer que seul l'administrateur système de l'interface SCSI virtuelle contrôle les partitions qui peuvent accéder aux données des unités de stockage du serveur d'E-S virtuel. Par exemple, une partition client ayant accès au volume logique lv001 exporté par la partition du serveur d'E-S virtuel ne peut pas accéder à lv002, même si elle appartient au même groupe de volumes.
Tout comme l'interface SCSI virtuelle, le microprogramme fournit également une connexion entre les partitions lorsqu'il utilise cette interface. Il fournit une fonction de commutateur Ethernet. La connexion vers le réseau externe est fournie par la fonction de carte de réseau Ethernet partagée du serveur d'E-S virtuel. Cette partie du serveur d'E-S virtuel agit comme un pont de couche 2 vers les cartes physiques. Une marque d'ID VLAN est insérée dans toute trame Ethernet. Le commutateur Ethernet limite les trames aux ports autorisés à recevoir des cadres portant cet ID VLAN. Chaque port d'un commutateur Ethernet peut être configuré afin d'être membre de plusieurs réseaux VLAN (réseaux locaux virtuels). Seuls les cartes réseau (physiques et virtuelles) connectées à un port (virtuel ou physique) appartenant au même réseau VLAN peuvent recevoir les trames. La mise en oeuvre de cette norme VLAN permet de s'assurer que les partitions n'ont pas accès à des données restreintes.