Raadpleeg de beveiligingsoverwegingen voor Virtual SCSI, virtueel Ethernet en Shared Ethernet adapter en de aanvullende beschikbare beveiligingsopties.
Voor een ontwerpplan voor systeembeveiliging voor Virtuele I/O-server moeten de standaard-beveiligingsfuncties worden overwogen die in de volgende secties zijn beschreven. Bepaal vervolgens of aanvullende beveiligingsopties nodig zijn. Als dit zo is, kunt u de VIOS-beveiligingsfuncties gebruiken die zijn beschreven in De Virtuele I/O-server beveiligen.
Architectuuruitbreidingen die zijn aangebracht in het systeemontwerp van de POWER5-server bieden meerdere partities de mogelijkheid gemeenschappelijk gebruik te maken van apparaten en communicatievoorzieningen. Functies zoals dynamisch LPAR, gemeenschappelijke processors, virtueel netwerk, virtuele opslag en werkbelastingbeheer vereisen allemaal voorzieningen om ervoor te zorgen dat aan de beveiligingseisen van het systeem wordt voldaan. De partitieoverstijgende functies en de virtualisatiefuncties zijn zo ontworpen dat ze niet leiden tot extra beveiligingsrisico's. Dat betekent dat een virtuele LAN-verbinding dezelfde beveiligingsoverwegingen heeft als een fysieke netwerkverbinding. U moet zorgvuldig overwegen hoe u de partitieoverstijgende virtualisatiefuncties in omgevingen met een hoge beveiliging moet gebruiken. Alle virtualisatiefuncties voor de partities moeten via de configuratieopties van het beheersysteem worden ingesteld.
Als u Virtual SCSI op de Virtuele I/O-server gebruikt, kan de Virtuele I/O-server opslagmogelijkheden voor clientpartities verzorgen. In plaats van een SCSI- of fiber Channel-kabel wordt de verbinding voor deze functionaliteit echter met behulp van de ingebouwde programmatuur tot stand gebracht. De Virtual SCSI-stuurprogramma's van de Virtuele I/O-server en de ingebouwde programmatuur zorgen ervoor dat alleen de systeembeheerder of de Virtuele I/O-server kunnen bepalen welke partities toegang hebben tot gegevens op Virtuele I/O-server-opslagapparaten. Een clientpartitie bijvoorbeeld die toegang heeft tot het logische volume lv001 dat door de Virtuele I/O-server-partitie is geƫxporteerd, heeft geen toegang tot lv002, zelfs niet als deze zich in dezelfde volumegroep bevindt.
Vergelijkbaar met Virtual SCSI brengt de ingebouwde programmatuur ook de verbinding tussen partities tot stand als virtueel Ethernet wordt gebruikt. De ingebouwde programmatuur verzorgt de functionaliteit van de Ethernet-switch. De verbinding met het externe netwerk wordt verzorgt door de Shared Ethernet adapter-functie op de Virtuele I/O-server. Dit deel van de Virtuele I/O-server fungeert als een brug van laag 2 met de fysieke adapters. Er wordt een VLAN-ID-label in elk Ethernet-frame ingevoegd. De Ethernet-switch beperkt de frames tot de poorten die zijn gemachtigd om frames met dat VLAN-ID te ontvangen. Elke poort op een Ethernet-switch kan zodanig worden geconfigureerd dat deze lid is van verschillende VLAN's. Alleen de netwerkadapters, zowel virtuele als fysieke, die (virtueel of fysiek) zijn verbonden met een poort die tot hetzelfde VLAN behoort, kunnen de frames ontvangen. De implementatie van deze VLAN-standaard zorgt ervoor dat de partities geen toegang hebben tot beperkt toegankelijke gegevens.