关于虚拟化与等级保护的疑问

恭喜发财

按照等级保护要求，服务器要分区域进行保护。服务器虚拟化以后，如果一台HOST运行多个虚拟机，不同等保区域的的虚拟机映射给HOST上不同的物理网卡，这样做是否符合等级保护（二级）的要求？

TiGi

存储、处理器、内存等还是物理相连的啊。
此外，这个是否符合，也不是你我、VMware说了算，倒腾好之后，检测、评估单位说不算，那不是还是不算？！
其实，不同等级的，组成不同的集群。考虑到“等级”的企业，出于安全考虑多倒腾几个集群，也不是不可行的方法。
单CPU服务器5-8W*3、ESXi Ent. Plus3W*3、三台一个vC基础版1W、存储5-20万，不超过55万，如果加上20个 Windows Server STD 按14W算，68W搞定。

恭喜发财

咨询过等保测评单位，说这样是可以的，符合等保二级的要求。

cilence

个人观点：一个host上的VM都是经过虚拟化层运行在共享的物理硬件上的，要做到隔离必须也在虚拟化层做才行。VMware的做法是使用Agent VM，不过貌似大部分都不买账

24242625

对于大部分评估单位来说
物理隔离才是基础
这不是买不买账的问题

taoap

什么教物理隔离？？现在的计算机技术不连接网络不协作还有个毛用啊

TiGi

处理某些资料啦！
很正常的。
不联网，有两种：一种是单机；还有一种就是不联保护等级不如自己的网（这种情况下，很多时候保护级别高的网络也不会允许级别低的网络连接）或者若干个机器单独组网。

ruanhr

等保就是烧钱的,僵硬的体制要求永远跟不上创新技术的发展

seanlaser

物理隔离是方便有效的保密手段！只要措施做的到位，是很好的保护手法，而且相对来说技术要求门槛低，而且责任明确，易于实施。
我天朝各级部门基本都采用这种手段。

seanlaser

嘛……如果这都能过，以后出事就是分分秒秒的事情了。
很简单的问题：管理网络位于何种等级之下？实际上从管理网络的接入可以访问到任何一个区域的VM！就算你把管理网络放在最高等级下，那么如何维护？
不同区域的绝对不可以混在一个主机上！

taoap

谢谢，这个我是知道的，可是现在我们很多所谓的安全措施比如什么物理隔离都是糊弄外行人的，那些检查的也是为了撇清责任，根本不顾实际情况。就好像一说要加强网络安全就封闭了互联网，结果搞得网络中病毒横行，为什么？病毒软件都不能及时升级了，而且以前用电子邮件传输文件的时候网关和邮件服务器（包括互联网上的免费邮箱）还可能检测病毒，现在倒好，都用U盘，一个中毒所有接触过的机器都是了

恭喜发财

等级保护不等于物理隔离。
不同级别的等级保护要求大不相同，对于绝大部分单位来说，二级就足够了。
二级并不要求物理隔离。

TiGi

物理隔绝，可以通过一个中间机，实现升级(病毒定义、补丁包等) —— 连接互联网的机器上下载、刻盘、转移至中间机。
对于U盘，通过专盘专用、特别接口的U盘等可以实现USB存储设备的控制。
————————————————
即便是国外，应该还是有物理隔绝的网络的。

taoap

知道有，可基本上那是一些绝密的内容和东西了，很少见的。可我们呢，什么都说保密，根本不顾实际情况，所以大多数都只是表面工作。FBI和CIA还有NASA出的网络事件如果在我们这里就会来一场关闭网络的“整风运动”了

seanlaser

怎么会没有呢？否则要那么多物理隔绝网干嘛？