Consente di esaminare le considerazioni sulla sicurezza per adattatori SCSI virtuale, adattatori Ethernet virtuale e Adattatore Ethernet condiviso e le ulteriori opzioni di sicurezza disponibili.
Un piano per la progettazione della sicurezza di sistema per il Server I/E virtuale comporta la considerazione delle funzioni di sicurezza standard descritte nelle seguenti sezioni. Stabilire, quindi, se sono necessari ulteriori controlli della sicurezza. In questo caso, considerare l'utilizzo delle funzioni di sicurezza VIOS descritte in Protezione del Server I/E virtuale.
I miglioramenti apportati all'architettura di progetto del sistema server POWER5 consentono la condivisione e la comunicazione delle unità a partizioni incrociate. Funzioni quali LPAR dinamico, processori condivisi, rete virtuale, memoria virtuale e gestione del carico di lavoro richiedono tutti le funzioni per soddisfare i requisiti di sicurezza del sistema. Le funzioni di partizione incrociata e virtuali sono progettate per evitare di introdurre funzioni di sicurezza esterne a quelle previste dalla funzione. Ad esempio, una connessione LAN virtuale avrà le stesse protezioni di una rete di connessione fisica. Negli ambienti ad alta protezione è necessario considerare attentamente come utilizzare le funzioni virtuali di partizione incrociata. La visibilità tra partizioni deve essere consapevolmente abilitata scegliendo le configurazioni di sistema di gestione più adatte.
L'utilizzo di SCSI virtuale sul Server I/E virtuale permette al Server I/E virtuale di fornire memoria alle partizioni client. Tuttavia, invece che da un cavo SCSI o a fibre ottiche, la connessione per questa funzionalità viene effettuata dal firmware. I programmi di controllo dell'unità SCSI virtuale del Server I/E virtuale ed il firmware assicurano che solo amministratore di sistema del Server I/E virtuale abbia il controllo sulle partizioni che possono accedere ai dati nelle unità di memoria del Server I/E virtuale. Ad esempio, una partizione client che ha accesso a un volume logico lv001 esportato dalla partizione Server I/E virtuale non può accedere a lv002, anche se si trova nello stesso gruppo volumi.
In modo simile a SCSI virtuale, il firmware fornisce anche la connessione tra partizioni quando si utilizza l'Ethernet virtuale. Il firmware fornisce la funzionalità di commutazione dell'Ethernet. La connessione con la rete esterna viene fornita dalla funzione Adattatore Ethernet condiviso sul Server I/E virtuale. Questa parte del Server I/E virtuale agisce come un ponte a due livelli per gli adattatori fisici. In ciascun frame Ethernet viene inserita una tag ID VLAN. Il commutatore Ethernet limita i frame alle porte autorizzate a ricevere i frame con quell'ID VLAN. Ogni porta su un commutatore Ethernet può essere configurata per far parte di più VLAN. Solo gli adattatori di rete, sia virtuali che fisici, collegati a una porta, virtuale o fisica, appartenente alla stessa VLAN possono ricevere i frame. L'implementazione di questa VLAN standard assicura che le partizioni non abbiano accesso a dati riservati.