服務(wù)器虛擬化的安全風(fēng)險
破壞了正常的網(wǎng)絡(luò)架構(gòu)采用服務(wù)器虛擬化技術(shù)�����,需要對原來的網(wǎng)絡(luò)架構(gòu)進行一定的改動����,建立新的網(wǎng)絡(luò)架構(gòu)����,以適應(yīng)服務(wù)器虛擬化的要求。但是����,網(wǎng)絡(luò)架構(gòu)的改動打破了原來平衡的網(wǎng)絡(luò)架構(gòu)系統(tǒng),也就會產(chǎn)生一些危險系統(tǒng)安全的風(fēng)險安全問題��。比如:如果不使用服務(wù)器虛擬化技術(shù)��,客戶可以把幾個隔離區(qū)設(shè)置在防火墻的設(shè)備上�。這樣一來�����,一個隔離區(qū)就可以管理著一個服務(wù)器,服務(wù)器之間可以不同的管理原則���,不同的服務(wù)器也就可以有不同的管理方法��。這樣�,當(dāng)有一個服務(wù)器被外界攻擊時�,其它的服務(wù)器就不會受到影響,可以正常運行���。但是���,如果采用了服務(wù)器虛擬化技術(shù),就需要把虛擬的服務(wù)器一起連接到同一個虛擬交換機上����。通過虛擬交換機就把所有的虛擬的服務(wù)器同外部網(wǎng)絡(luò)聯(lián)系了起來。因為所有的虛擬的服務(wù)器都連接在同一個虛擬交換機上�,這就造成了一方面原來設(shè)置的防火墻功能失去了防護作用,另一方面給所有的虛擬服務(wù)器增加了安全風(fēng)險�。當(dāng)一個虛擬服務(wù)器遭受到攻擊或出現(xiàn)狀況時,其它的虛擬服務(wù)器也會受到影響���?����?赡苤率瓜到y(tǒng)服務(wù)器超載服務(wù)器虛擬化雖然能產(chǎn)生若干個服務(wù)器供用戶使用�,但是這些產(chǎn)生的服務(wù)器只是虛擬的,還需要借用物理服務(wù)器的硬件系統(tǒng)來進行各種應(yīng)用程序的運行����。各個虛擬服務(wù)器的應(yīng)用程序非常多,這些應(yīng)用程序一旦全部運行起來��,就會大量占用物理服務(wù)器的內(nèi)存���、中央處理器�、網(wǎng)絡(luò)等硬件系統(tǒng)����,從而給物理服務(wù)器帶來沉重的運行負擔(dān)。如果有一天�����,所有的虛擬服務(wù)器都在運行大量的應(yīng)用程序��,就有可能使物理服務(wù)器負荷太大�����,從而出現(xiàn)服務(wù)器超載的現(xiàn)象���。服務(wù)器超載到一定程度����,就有可能造成各個虛擬服務(wù)器運行程序速度太慢���,影響客戶的使用�。更嚴重的還可能造成物理服務(wù)器系統(tǒng)崩潰�����,給客戶帶來無法估量的損失�����。致使虛擬機失去安全保護服務(wù)器虛擬化后���,每個虛擬機都會被裝上自己的管理程序���,供客戶操作和使用虛擬服務(wù)器����。但是不是所有的管理程序都是完美無缺����,沒有安全漏洞的。管理程序在設(shè)計中都有可能會產(chǎn)生一些安全漏洞和缺陷��。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務(wù)器的著手點�����。他們通過這些安全漏洞和缺陷會順利地進入服務(wù)器�����,進行一些非法操作�。更重要的是,一臺虛擬機管理程序的安全漏洞和缺陷會傳染給其它虛擬機��。當(dāng)一臺虛擬機因安全漏洞和缺陷遭受黑客攻擊時�����,其它的虛擬機也會受到影響,致使虛擬機失去安全保護��。服務(wù)器被攻擊的機會大大增加連接于同一臺物理服務(wù)器的所有服務(wù)器虛擬機是能相互聯(lián)系的���。在相互聯(lián)系的過程中,就有可能產(chǎn)生一些安全風(fēng)險��,致使服務(wù)器遭受黑客的攻擊�。而且,黑客不需要對所有的服務(wù)器虛擬機逐個進行攻擊�����,只需要對其中的一臺虛擬機進行攻擊���。只要攻下一臺虛擬機����,其它的虛擬機就可以被攻下����。因為,所有的虛擬機都是相互聯(lián)系的。所以說��,服務(wù)器虛擬化后被攻擊的機會大大增加了�����。虛擬機補丁帶來的安全風(fēng)險每個虛擬機都有著自己的管理系統(tǒng)�,而這些管理系統(tǒng)是經(jīng)常需要及時安裝最新補丁以防止被攻擊。但是���,一個物理服務(wù)器可以帶許多個虛擬機�,每個虛擬機就是一臺服務(wù)器����,都需要安裝補丁,工作量太大����。這就給虛擬機的補丁安裝帶來麻煩,會大大影響補丁的安裝速度�,使虛擬機不能夠及時安裝不斷,從而帶來安全隱患��。另外�����,一些客戶會通過一些技術(shù)手段保留個別虛擬機用于虛擬機的災(zāi)難恢復(fù)。但是�����,保留的虛擬機很可能沒有及時安裝新的補丁����,從而會給災(zāi)難恢復(fù)的虛擬機帶來運行的安全風(fēng)險����。
臨沂網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,臨沂網(wǎng)站設(shè)計制作,有大型網(wǎng)站制作公司豐富經(jīng)驗�。已為臨沂千余家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)要多少錢��,請找那個售后服務(wù)好的臨沂做網(wǎng)站的公司定做��!
在云數(shù)據(jù)中心里���,虛擬化安全防護應(yīng)該考慮哪些因素
1���、數(shù)據(jù)中心需要考慮投入產(chǎn)出比
2、云計算數(shù)據(jù)中心的虛擬化場景需要安全解決方案的良好配合。
例如:為每個租戶分配不同的虛擬安全設(shè)備及管理賬號����,讓其自行管理,這就要求安全設(shè)備的虛擬化是完整的(包括接口�、路由、策略��、管理員等各種對象)��。另外不同租戶的業(yè)務(wù)不同�,對安全保護的要求也各不相同。例如Web服務(wù)商需要IPS��,郵件服務(wù)商需要反垃圾郵件�����,這就要求安全設(shè)備的所有功能都能在虛擬化之后正常工作�。
3、在云計算時代����,虛擬化的確成了防火墻(包括下一代防火墻、UTM等多功能網(wǎng)關(guān))的必備功能����。安全部署必須無縫貼合云計算虛擬化的結(jié)構(gòu)��。完全獨立的虛擬化��,全功能虛擬化�。這兩點看似既簡單又理所應(yīng)當(dāng)���,但實際實現(xiàn)還是有較高技術(shù)難度的�����,需要云計算數(shù)據(jù)中心的注意。
主機虛擬化安全主要從哪行方面著手�����?
隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實施虛擬化的誘人理由��,如服務(wù)器的整合�、更快的硬件、使用上的簡單��、靈活的快照技術(shù)等����。這都使得虛擬化更加引人注目�。在有些機構(gòu)中�����,虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分���。在這里�����,技術(shù)再次走在了最佳的安全方法的前面�����。隨著機構(gòu)對災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視��,特別是在金融界�����,虛擬環(huán)境正變得越來越普遍�。我們應(yīng)該關(guān)注這種繁榮背后的隱憂��。
使用虛擬化環(huán)境時存在的缺陷
1.如果主機受到破壞,那么主要的主機所管理的客戶端服務(wù)器有可能被攻克�����。
2.如果虛擬網(wǎng)絡(luò)受到破壞�����,那么客戶端也會受到損害��。
3.需要保障客戶端共享和主機共享的安全���,因為這些共享有可被不法之徒利用其漏洞��。
4.如果主機有問題����,那么所有的虛擬機都會產(chǎn)生問題���。
5.虛擬機被認為是二級主機,它們具有類似的特性���,并以與物理機的類似的方式運行���。在以后的幾年中����,虛擬機和物理機之間的不同點將會逐漸減少����。
6.在涉及到虛擬領(lǐng)域時,最少特權(quán)技術(shù)并沒有得到應(yīng)有的重視���,甚至遭到了遺忘��。這項技術(shù)可以減少攻擊面����,并且應(yīng)當(dāng)在物理的和類似的虛擬化環(huán)境中采用這項技術(shù)�。
保障虛擬服務(wù)器環(huán)境安全的措施
1.升級你的操作系統(tǒng)和應(yīng)用程序,這應(yīng)當(dāng)在所有的虛擬機和主機上進行���。主機應(yīng)用程序應(yīng)當(dāng)少之又少��,僅應(yīng)當(dāng)安裝所需要的程序�。
2.在不同的虛擬機之間����,用防火墻進行隔離和防護�,并確保只能處理經(jīng)許可的協(xié)議����。
3.使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離��。
4.在所有的主機和虛擬機上安裝和更新反病毒機制���,因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染���。
5.在主機和虛擬機之間使用IPSEC或強化加密,因為虛擬機之間�、虛擬機與主機之間的通信可能被嗅探和破壞。雖然廠商們在想方設(shè)法改變這種狀況����,但在筆者完成此文時���,這仍是一真實的威脅�。企業(yè)仍需要最佳的方法來對機器之間的通信實施加密���。
6.不要從主機瀏覽互聯(lián)網(wǎng)�����,間諜軟件和惡意軟件所造成的感染仍有可能危害主機��。記住�����,主機管理著虛擬機��,發(fā)生在虛擬機上的問題會導(dǎo)致嚴重的問題和潛在的“宕機”時間����、服務(wù)的喪失等。
7.在主機上保障管理員和管理員組賬戶的安全��,因為未授權(quán)用戶對特權(quán)賬戶的訪問能導(dǎo)致嚴重的安全損害�����。調(diào)查發(fā)現(xiàn)����,主機上的管理員(根)賬戶不如虛擬機上的賬戶安全����。記住���,你的安全性是由最弱的登錄點決定的�。
8.強化主機操作系統(tǒng)�����,并終止和禁用不必要的服務(wù)���。保持操作系統(tǒng)的精簡�����,可以減少被攻擊的機會��。
9.關(guān)閉不使用的虛擬機��。如果你不需要一種虛擬機�,就不要運行它�。
10.將虛擬機整合到企業(yè)的安全策略中���。
11.保證主機的安全��,確保在虛擬機離線時��,非授權(quán)用戶無法破壞虛擬機文件��。
12.采用可隔離虛擬機管理程序的方案�����,這些系統(tǒng)可以進一步隔離和更好地保障虛擬環(huán)境的安全���。
13.確保主機驅(qū)動程序的更新和升級�,這會保障你的硬件以最優(yōu)的速度運行����,而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機會。
14.要禁用虛擬機中未用的端口���。如果虛擬機環(huán)境并不利用端口技術(shù)����,就應(yīng)當(dāng)禁用它。
15.監(jiān)視主機和虛擬主機上的事件日志和安全事件�����。這些日志應(yīng)當(dāng)妥善保存���,用于日后的安全審計�。
16.限制并減少硬件資源的共享����。從某種意義上講,安全與硬件資源共享����,如同魚與熊掌,不可兼得�����。在資源被虛擬機輪流共享時�����,除發(fā)生數(shù)據(jù)泄漏外���,拒絕服務(wù)攻擊也將是家常便飯����。
17.在可能的情況下�����,保證網(wǎng)絡(luò)接口卡專用于每一個虛擬機���。這里再次減輕了資源共享問題���,并且虛擬機的通信也得到了隔離。
18.投資購買可滿足特定目的并且支持虛擬機的硬件����。不支持虛擬機的硬件會產(chǎn)生潛在的安全問題。
19.分區(qū)可產(chǎn)生磁盤邊界�����,它可用于分離每一個虛擬機并可在其專用的分區(qū)上保障安全性�。如果一個虛擬機超出了正常的限制,專用分區(qū)會限制它對其它虛擬機的影響�����。
20.要保證如果不需要互聯(lián)的話,虛擬機不能彼此連接�����。前面我們已經(jīng)說過網(wǎng)絡(luò)隔離的重要性����。要進行虛擬機之間的通信,可以使用一個在不同網(wǎng)絡(luò)地址上的獨立網(wǎng)絡(luò)接口卡�����,這要比將虛擬機之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多�����。
21.NAC正走向虛擬機���,對于基于虛擬機服務(wù)器的設(shè)備尤其如此��。如果這是一種可以啟用的特性�,那么����,正確的實施NAC將為你帶來更長遠的安全性����。
22.嚴格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少��。
23.記住��,主機代表著單個失效點�,備份和連續(xù)性要求可以有助于減少這種風(fēng)險����。
24.避免共享IP地址,這又是一個共享資源而造成問題和漏洞的典型實例����。
業(yè)界已經(jīng)開始認識到,虛擬化安全并不是像我們看待物理安全那樣簡單���。這項技術(shù)帶來了新的需要解決的挑戰(zhàn)���。
結(jié)論
虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高���,那么筆者建議它最好不要采用虛擬化���,可堅持使用物理機器����,但后者也需要安全保障��。
應(yīng)用虛擬化領(lǐng)域的安全防護體系是如何完備的���?
以極通科技的ewebs為例:
不管是C/S還是B/S架構(gòu)的應(yīng)用���,如何保證數(shù)據(jù)傳輸?shù)陌踩枪芾韱T要面對的問題,安全的關(guān)注點主要在三個方面:
用戶身份驗證的安全性:
用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環(huán)節(jié)�����,傳統(tǒng)的應(yīng)用體系中�����,用戶驗證通常有用戶名/密碼驗證���、USB key驗證及智能卡驗證等方法����。在EWEBS 2008 中,采用用戶帳號和Windows帳號關(guān)聯(lián)的方式����,在EWEBS 2008中存儲用戶密碼,用戶訪問應(yīng)用程序時不直接使用Windows 帳號密碼��,而是使用EWEBS 2008中為用戶單獨創(chuàng)建的帳號���。用戶帳號的身份驗證支持用戶名/密碼���、USB Key驗證����、智能卡、指紋或視網(wǎng)膜等生物學(xué)身份驗證方法���。
服務(wù)器的安全性:
在傳統(tǒng)的遠程接入模式中�,因為用戶的應(yīng)用直接在服務(wù)器端運行�,如何保證服務(wù)器的安全性是管理員面臨的一個大問題,一般都采用Windows 組策略等手段來保護服務(wù)的安全�,但是組策略配置的復(fù)雜性��、效果都不盡如人意�����。
在EWEBS 2008中��,直接內(nèi)嵌了Windows Active Directory 組策略的配置設(shè)置�����,管理員無需熟悉組策略的具體配置��,只需要進行簡單的選擇���,就可以輕松的限制用戶對某個具體的硬盤、系統(tǒng)任務(wù)欄或IE等服務(wù)器端資源的訪問���。
數(shù)據(jù)傳輸?shù)陌踩裕?/p>
在傳統(tǒng)的應(yīng)用模式中���,客戶端和服務(wù)器端需要傳送應(yīng)用程序相關(guān)的數(shù)據(jù)記錄,如數(shù)據(jù)庫的查詢結(jié)果集等���,這就對數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全提出了較高的要求����,通常采用VPN加密、SSL加密等技術(shù)來保證應(yīng)用數(shù)據(jù)的安全����。在EWEBS 2008中,由于所有的應(yīng)用程序都在服務(wù)器(集群)上運行����,所以客戶端和服務(wù)器端傳送的僅僅是應(yīng)用程序的輸入輸出邏輯,在沒有特別授權(quán)的情況下����,數(shù)據(jù)無法離開服務(wù)器(集群),保證了數(shù)據(jù)的安全�。EWEBS 2008中還內(nèi)嵌了SSL通信技術(shù)來保證客戶端和服務(wù)器端網(wǎng)絡(luò)通訊的安全。
除了上述的三個方面的安全之外�,在EWEBS 2008中����,管理員還可以輕松的對客戶端進行控制,可以根據(jù)用戶帳號���、訪問時間��、客戶端IP地址�����、客戶端MAC地址��、客戶端機器特征碼(從CPU�����、主板��、硬盤等硬件計算而來)等來限制客戶端對應(yīng)用程序的訪問�����,從而做到即使用戶帳號信息泄露�,第三方也無法盜用應(yīng)用程序,有效的保證了用戶關(guān)鍵應(yīng)用和數(shù)據(jù)的安全����。
網(wǎng)頁標題:服務(wù)器虛擬化安全防護 服務(wù)器虛擬化安全防護設(shè)置
轉(zhuǎn)載來源:
http://weahome.cn/article/ddggsii.html
重慶分公司
重慶分公司
