數(shù)十年專注企業(yè)數(shù)字化轉(zhuǎn)型、智能化升級、企業(yè)上云解決方案服務(wù)商
工單提交 騰佑科技咨詢熱線咨詢熱線: 400-996-8756
百度云服務(wù)中心騰佑科技公司
云服務(wù)器活動 服務(wù)器租用 服務(wù)器托管 機柜租賃 帶寬租賃
  • 最新資訊
  • 熱門資訊
  • 最熱資訊
智能建站

虛擬化多角度分析安全問題

發(fā)布時間:2013-11-15 作者:admin

簡述:虛擬化的優(yōu)點已是眾所周知,包括多租戶、更佳的服務(wù)器利用率和數(shù)據(jù)中心整合等。云服務(wù)提供商可(用虛擬化)實現(xiàn)更高的密度,由此轉(zhuǎn)化更好的利潤;企業(yè)可用虛擬化來壓縮在服務(wù)器硬件上的資本支出,同時提升營運效率。

虛擬化的優(yōu)點已是眾所周知,包括多租戶、更佳的服務(wù)器利用率和數(shù)據(jù)中心整合等。云服務(wù)提供商可(用虛擬化)實現(xiàn)更高的密度,由此轉(zhuǎn)化更好的利潤;企業(yè)可用虛擬化來壓縮在服務(wù)器硬件上的資本支出,同時提升營運效率。

虛擬化帶來所有以客居方式運行操作系統(tǒng)的安全問題,以及虛擬化特有的安全威脅。虛擬化是基礎(chǔ)設(shè)施即服務(wù)(IaaS)云和私有云中的關(guān)鍵因素之一,而且越來越多地被應(yīng)用在平臺即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)提供商的后臺中。虛擬化也是由公有云或私有云交付的虛擬桌面的一項關(guān)鍵技術(shù)。

這些安全問題可能包括:Hypervisor層引入的新安全考慮以及新的虛擬化特有的安全威脅,例如,虛擬機間的攻擊和盲點,安全功能消耗CPU和內(nèi)存導致的性能問題,虛擬機蔓延(VM Sprawl)導致的運作復雜度。新的問題如防護間隙(Instant-On Gap)、數(shù)據(jù)混雜、加密虛擬機鏡像的難度以及殘余數(shù)據(jù)清除等正成為焦點。

Hypervisor安全

Hypervisor需參照最佳實踐進行加固。使用虛擬化的企業(yè)和用戶主要關(guān)心的是Hypervisor所運行物理主機是否有恰當?shù)呐渲霉芾?、操作和物理安全?/P>

虛擬機間攻擊和盲點

虛擬化對網(wǎng)絡(luò)安全帶來巨大的威脅,虛擬機間可能通過硬件背板而不是網(wǎng)絡(luò)進行通訊,因此這些通訊流量對標準的網(wǎng)絡(luò)安全控制來說是不可見的,無法對它們進行監(jiān)控或內(nèi)嵌封堵。內(nèi)嵌虛擬設(shè)備可以解決這個問題;另一個解決途徑是硬件輔助虛擬化(Hardware Assisted Virtualization),它需要與Hypervisor和虛擬化管理框架進行API級別的整合。虛擬機的遷移也是令人擔心的地方。一個可能的攻擊場景是一個可疑的虛擬機遷移進信任區(qū)域,在傳統(tǒng)以網(wǎng)絡(luò)為基礎(chǔ)的安全控制措施下,將無法檢測到它的不當行為。在每個虛擬機上安裝全套的安全工具,是加添保護層的另一途徑。

性能問題

將為物理服務(wù)器設(shè)計的安全軟件安裝在虛擬服務(wù)器上會導致嚴重的性能下降,因為一些安全任務(wù),比如病毒掃描非常占用CPU資源。虛擬化服務(wù)器上的共享環(huán)境導致了資源競爭。特別是在虛擬桌面或高密度環(huán)境中,安全軟件需具備虛擬環(huán)境識別能力,或者它需要能夠在一臺虛擬機上執(zhí)行安全功能來支持其他虛擬機。

虛擬機蔓延(VM Sprawl)導致的運作復雜度

在典型的企業(yè)中,虛擬機可提供的便捷性導致虛擬機需求的增加。這產(chǎn)生了更大的攻擊面,錯誤配置或操作失誤導致安全漏洞的幾率也隨之上升。實施基于策略的管理和虛擬化管理架構(gòu)的使用是必需的。

防護間隙(Instant-On Gap)

虛擬機關(guān)閉/啟動便捷,再結(jié)合威脅變化的速度,產(chǎn)生了一種情況:當虛擬機被關(guān)閉時配置是安全的;但是當它被再次啟動時,威脅已經(jīng)演化了,結(jié)果該虛擬機就可能存在漏洞風險了。最佳實踐包括基于網(wǎng)絡(luò)的安全控制和“虛擬補丁”,他們在網(wǎng)絡(luò)流量到達新部署或新啟動的虛擬機前,對已知攻擊行為進行檢查。也可能采取類似網(wǎng)絡(luò)訪問控制(NAC)的措施,以隔離尚未更新的虛擬機,直至規(guī)則和模式庫更新到最新并執(zhí)行完成掃描任務(wù)。

虛擬機加密導致的性能問題

虛擬機鏡像無論在靜止還是運行狀態(tài)都有被竊取或篡改脆弱漏洞。對應(yīng)的解決方案是在任何時候?qū)μ摂M機鏡像進行加密,但這又會導致性能問題。在安全性要求高或有法規(guī)要求的環(huán)境下,(加密的)性能成本是值得的。加密必須與管理性措施、數(shù)據(jù)泄露保護(DLP)和審計蹤跡配合以防止運行中虛擬機的快照(Snapshot)泄露,從而給攻擊者獲取快照中數(shù)據(jù)的機會。

數(shù)據(jù)混雜

另一個問題是不同等級的數(shù)據(jù)(或虛擬機儲存著不同等級的數(shù)據(jù))可能交錯混雜在同一臺物理機器中。在PCI(這里指PCI-DSS,支付卡行業(yè)數(shù)據(jù)安全標準)條款中,我們稱之為混合實施模式。我建議組合使用虛擬局域網(wǎng)、防火墻、入侵檢測/入侵防護系統(tǒng)(IDS/IPS)來保證虛擬機隔離以支持混合實施模式。我還推薦使用數(shù)據(jù)分類和基于策略的管理(例如,DLP數(shù)據(jù)泄露保護)來預(yù)防數(shù)據(jù)混雜。在云計算環(huán)境中,某一最低安全保護的租戶,其安全性可能成為多租戶虛擬環(huán)境中所有租戶共有的安全性。

虛擬機數(shù)據(jù)清除

當虛擬機從一個物理服務(wù)器間遷移至另一物理服務(wù)器時,企業(yè)需要確保沒有任何一個比特數(shù)據(jù)遺留在磁盤上,有關(guān)數(shù)據(jù)可能被其他用戶恢復或當磁盤被回收時恢復。對內(nèi)存/存儲清零或者對全部數(shù)據(jù)加密是此問題的解決方案。加密密鑰應(yīng)當存儲在虛擬環(huán)境以外的一個基于策略的密鑰服務(wù)器上。此外,如果沒有使用加密或恰當?shù)臄?shù)據(jù)擦洗,虛擬機在運行的狀態(tài)下遷移,自身可能面臨風險。

虛擬像篡機鏡改

預(yù)先配置的虛擬設(shè)備和鏡像,在你啟動之前可能配置不當或被篡改過。

可隨意遷移的虛擬機

虛擬機可以從一個物理服務(wù)器遷移到另外一個物理服務(wù)器的獨特能力為審計和安全監(jiān)測增加了復雜度。在很多情下,虛擬機可以在不產(chǎn)生告警或者審計跟蹤的情況下被重新安置于另一個物理服務(wù)器(與地理位置無關(guān))。

由網(wǎng)絡(luò)轉(zhuǎn)載 侵權(quán)請聯(lián)系我們刪除

點擊展開全文

鄭州騰佑科技有限公司(以下簡稱“騰佑科技”)成立于2009年, 總部位于鄭州,是 一家致力于互聯(lián)網(wǎng)服務(wù)業(yè)的高新技術(shù)企業(yè),公司主營業(yè)務(wù)以互聯(lián)網(wǎng)數(shù)據(jù)中心、云計算、人 工智能、軟件開發(fā)、安全服務(wù)“互聯(lián)網(wǎng)+”行業(yè)解決方案及行業(yè)應(yīng)用等相關(guān)業(yè)務(wù)。

售前咨詢熱線:400-996-8756

備案提交:0371-89913068

售后客服:0371-89913000

熱門活動

百度云服務(wù)中心
標簽:
  • 熱門資訊
  • 隨便看看