Revise as considerações de segurança do Virtual SCSI, da Ethernet virtual e Adaptador Ethernet Compartilhado e das opções de segurança adicionais disponíveis.
Um plano de segurança de sistema do Virtual I/O Server envolve a consideração dos recursos de segurança padrão descritos nas seções a seguir. Em seguida, determine se são necessários controles de segurança adicionais. Se forem necessários, considere a utilização dos recursos de segurança do VIOS descritos em Protegendo o Virtual I/O Server.
Os aprimoramentos arquiteturais feitos no design do sistema de servidor POWER5 permitem o compartilhamento e a comunicação de dispositivos de partição cruzada. Todas as funções, como LPAR dinâmico, processadores compartilhados, rede virtual, armazenamento virtual e gerenciamento de carga de trabalho, requerem recursos para assegurar que os requisitos de segurança do sistema sejam atendidos. Os recursos de partição cruzada e de virtualização estão projetados para não introduzir nenhuma exposição de segurança além do que é subentendido pela função. Por exemplo, uma conexão LAN virtual teria as mesmas considerações de segurança que a conexão de rede física. Considere com cuidado como inicializar os recursos de virtualização de partição cruzada em ambientes de alta segurança. Qualquer visibilidade entre as partições deve ser ativada cientemente por meio de opções administrativas de configuração do sistema.
A utilização do Virtual SCSI no Virtual I/O Server ativa o Virtual I/O Server para fornecer armazenamento para partições de cliente. Entretanto, em vez de SCSI ou cabo de fibra, a conexão para essa funcionalidade é feita pelo firmware. Os drivers de dispositivo Virtual SCSI do Virtual I/O Server e o firmware asseguram que apenas o administrador do sistema do Virtual I/O Server tenha o controle sobre quais partições podem acessar dados em dispositivos de armazenamento do Virtual I/O Server. Por exemplo, uma partição de cliente que tenha acesso a um volume lógico lv001 exportado pela partição do Virtual I/O Server não pode acessar lv002, mesmo se estiver no mesmo grupo de volume.
Semelhante ao Virtual SCSI, o firmware também fornece a conexão entre as partições ao utilizar a Ethernet visual. O firmware fornece a funcionalidade do comutador Ethernet. A conexão com a rede externa é fornecida pela função do Adaptador Ethernet Compartilhado no Virtual I/O Server. Essa parte do Virtual I/O Server age como uma ponte na camada 2 para os adaptadores físicos. Uma tag de ID da VLAN é inserida todo quadro Ethernet. O comutador Ethernet restringe os quadros às portas autorizadas a receberem quadros com esse ID da VLAN. Toda porta em um comutador Ethernet pode ser configurada para ser um membro de várias VLANs. Apenas os adaptadores de rede, virtuais e físicos, conectados a uma porta (virtual ou física) pertencente à mesma VLAN podem receber os quadros. A implementação desse padrão de VLAN assegura que as partições não possam acessar dados restritos.