虚拟服务器安全性为什么就不如他们所取代的物理服务器呢?虚拟化安全尤为重要。导致服务器安全级别较低的原因包括:

*许多服务器虚拟化项目实施之初就没有将虚拟化安全问题考虑在内

*所有的虚拟工作负载存在虚拟软件受到安全威胁的可能

*不同信任级别的虚拟工作负载通常被整合在单个物理主机上,没有进行足够的隔离

*许多企业对管理程序/虚拟机监管层管理访问的足够控制和管理工具

这些对虚拟环境的实际威胁以管理程序为中心可以划分为几个类别:

黑客攻击:这会涉及对管理程序的干扰或者插入流氓管理程序。由于管理程序是在处理器专属级别上运行的,因为管理程序上运行的任何操作系统都很难甚至不可能侦测到这些虚拟化安全威胁。从理论上来说,控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。

虚拟机溢出:会导致虚拟机溢出的漏洞会允许黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。

虚拟机跳跃:与虚拟化溢出类似,虚拟机跳跃会允许攻击从一个虚拟机转而去威胁在同一个物理硬件上运行的其他虚拟服务器。

虚拟机被盗:这是一种用电子方式窃取虚拟机文件然后四处传播和运行的能力。是一种相当于窃取了完整的物理服务器的攻击,而且无需进入安全的数据中心和移除计算设备。

所有这些威胁方式是当企业部署虚拟化安全环境时,他们使用了一种全新的关键任务元素:管理程序。由于对管理程序的成功攻击会导致对所有托管的工作负载都造成威胁——而对个别虚拟工作负载的成功攻击也会对管理程序造成威胁,因此企业的管理程序应该被认定为关键任务软件并进行适当的安全防护。

在传统的IT环境中,网络流量可以使用一系列服务器安全防护系统来侦测恶意行为以实现监控,检查和过滤。但是虚拟环境的问题是通过虚拟交互及运行的虚拟机之间的通信很大一部分是无形的:它不是通过有线电缆来实现通信,也就无法用正常方式来实施监控。考利格认为只有一种解决方案可以解决这个问题"那就是必须建立虚拟机到虚拟机的流量可视化和控制".

一个复杂的问题是虚拟数据中心中经常会出现职责的分离。服务器和运营团队通常负责虚拟交换机的配置和管理。几乎或者完全没有综合性的应用工具和安全控制。对于网络和安全团队而言,这会导致实施配置审核可视性的缺失,进而虚拟化安全受到损害。就很难对拓扑和配置变化进行侦测,考利格强调会所"网络和安全团队必须掌控访问层的一举一动".考利格推荐了以下三种方式来实现这一目标:

1.硬件方式

硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网,配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核,只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。

2.完全虚拟化的方式

采用这种方式,每个ESX主机都配置了虚拟入侵检测系统和防火墙,每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到,而且当虚拟机在物理主机之间迁移时,安全协议也会随之一起迁移,不过不足之处是这种方式是影响数据中心安全架构的性能为代价的。

3.综合方式

这是一种可以大幅度缓解完全虚拟化方式所导致的数据中心安全的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器,虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-06-12 13:18:43
互联网 医疗行业的IT安全方案这样做
大多数医疗IT安全负责人深谙,没有单一的解决方案能够确保患者的数据安全,只有合适的技术、人员和政策相结合才是正确的方法。 <详情>
2019-03-29 18:05:48
云技术 安全仍然是企业物联网客户最关心的问题
企业客户仍然渴望实施物联网系统来改善他们的业务,贝恩公司预计,物联网硬件、软件、系统集成、数据和电信服务市场将在2021年增长至5200亿美元,是2017年2350亿美元的两倍 <详情>
2018-09-19 11:11:00
区块链 2018年区块链安全分析:安全事件频发
一般认为,区块链较为安全。一方面,比特币的加密算法SHA256保证了私钥的难攻破性;另一方面区块链中拥有更多的节点,保证了即便单一节点被攻破,仍然有其他节点保护整个数 <详情>
2018-09-18 15:56:19
云安全 Facebook、谷歌售卖隐私数据,苹果反其道而行之
据外媒报道,苹果日前在“个人隐私军备竞赛”中升级,通过新版的Safari浏览器开始限制Facebook、谷歌等采集网民隐私。美联社报道指出,在个人隐私军备竞赛中,苹果以及另外 <详情>
2018-08-31 09:24:01
云安全 云计算安全的三个层面:技术风险、管理风险和法律风险
云计算在IT技术领域大放异彩,成为引领技术潮流的新技术。云计算的高速发展为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势 <详情>