虚拟化的优点已是众所周知,包括多租户、更佳的服务器利用率和数据中心整合等。云服务提供商可(用虚拟化)实现更高的密度,由此转化更好的利润;企业可用虚拟化来压缩在服务器硬件上的资本支出,同时提升营运效率。
公司主营业务:网站建设、成都做网站、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。成都创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联推出呼和浩特免费做网站回馈大家。
虚拟化带来所有以客居方式运行操作系统的安全问题,以及虚拟化特有的安全威胁。虚拟化是基础设施即服务(IaaS)云和私有云中的关键因素之一,而且越来越多地被应用在平台即服务(PaaS)和软件即服务(SaaS)提供商的后台中。虚拟化也是由公有云或私有云交付的虚拟桌面的一项关键技术。
这些安全问题可能包括:Hypervisor层引入的新安全考虑以及新的虚拟化特有的安全威胁,例如,虚拟机间的攻击和盲点,安全功能消耗CPU和内存导致的性能问题,虚拟机蔓延(VM Sprawl)导致的运作复杂度。新的问题如防护间隙(Instant-On Gap)、数据混杂、加密虚拟机镜像的难度以及残余数据清除等正成为焦点。
Hypervisor安全
Hypervisor需参照最佳实践进行加固。使用虚拟化的企业和用户主要关心的是Hypervisor所运行物理主机是否有恰当的配置管理、操作和物理安全。
虚拟机间攻击和盲点
虚拟化对网络安全带来巨大的威胁,虚拟机间可能通过硬件背板而不是网络进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的,无法对它们进行监控或内嵌封堵。内嵌虚拟设备可以解决这个问题;另一个解决途径是硬件辅助虚拟化(Hardware Assisted Virtualization),它需要与Hypervisor和虚拟化管理框架进行API级别的整合。虚拟机的迁移也是令人担心的地方。一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为。在每个虚拟机上安装全套的安全工具,是加添保护层的另一途径。
性能问题
将为物理服务器设计的安全软件安装在虚拟服务器上会导致严重的性能下降,因为一些安全任务,比如病毒扫描非常占用CPU资源。虚拟化服务器上的共享环境导致了资源竞争。特别是在虚拟桌面或高密度环境中,安全软件需具备虚拟环境识别能力,或者它需要能够在一台虚拟机上执行安全功能来支持其他虚拟机。
虚拟机蔓延(VM Sprawl)导致的运作复杂度
在典型的企业中,虚拟机可提供的便捷性导致虚拟机需求的增加。这产生了更大的攻击面,错误配置或操作失误导致安全漏洞的几率也随之上升。实施基于策略的管理和虚拟化管理架构的使用是必需的。
防护间隙(Instant-On Gap)
虚拟机关闭/启动便捷,再结合威胁变化的速度,产生了一种情况:当虚拟机被关闭时配置是安全的;但是当它被再次启动时,威胁已经演化了,结果该虚拟机就可能存在漏洞风险了。最佳实践包括基于网络的安全控制和“虚拟补丁”,他们在网络流量到达新部署或新启动的虚拟机前,对已知攻击行为进行检查。也可能采取类似网络访问控制(NAC)的措施,以隔离尚未更新的虚拟机,直至规则和模式库更新到最新并执行完成扫描任务。
虚拟机加密导致的性能问题
虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应的解决方案是在任何时候对虚拟机镜像进行加密,但这又会导致性能问题。在安全性要求高或有法规要求的环境下,(加密的)性能成本是值得的。加密必须与管理性措施、数据泄露保护(DLP)和审计踪迹配合以防止运行中虚拟机的快照(Snapshot)泄露,从而给攻击者获取快照中数据的机会。
数据混杂
另一个问题是不同等级的数据(或虚拟机储存着不同等级的数据)可能交错混杂在同一台物理机器中。在PCI(这里指PCI-DSS,支付卡行业数据安全标准)条款中,我们称之为混合实施模式。我建议组合使用虚拟局域网、防火墙、入侵检测/入侵防护系统(IDS/IPS)来保证虚拟机隔离以支持混合实施模式。我还推荐使用数据分类和基于策略的管理(例如,DLP数据泄露保护)来预防数据混杂。在云计算环境中,某一最低安全保护的租户,其安全性可能成为多租户虚拟环境中所有租户共有的安全性。
虚拟机数据清除
当虚拟机从一个物理服务器间迁移至另一物理服务器时,企业需要确保没有任何一个比特数据遗留在磁盘上,有关数据可能被其他用户恢复或当磁盘被回收时恢复。对内存/存储清零或者对全部数据加密是此问题的解决方案。加密密钥应当存储在虚拟环境以外的一个基于策略的密钥服务器上。此外,如果没有使用加密或恰当的数据擦洗,虚拟机在运行的状态下迁移,自身可能面临风险。
虚拟机镜像篡改
预先配置的虚拟设备和镜像,在你启动之前可能配置不当或被篡改过。
可随意迁移的虚拟机
虚拟机可以从一个物理服务器迁移到另外一个物理服务器的独特能力为审计和安全监测增加了复杂度。在很多情況下,虚拟机可以在不产生告警或者审计跟踪的情况下被重新安置于另一个物理服务器(与地理位置无关)。
标题名称:虚拟化安全问题剖析
新闻来源:http://www.shufengxianlan.com/qtweb/news21/554821.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联