虚拟服务器安全性为什么就不如他们所取代的物理服务器呢?虚拟化安全尤为重要。导致服务器安全级别较低的原因包括:

*许多服务器虚拟化项目实施之初就没有将虚拟化安全问题考虑在内

*所有的虚拟工作负载存在虚拟软件受到安全威胁的可能

*不同信任级别的虚拟工作负载通常被整合在单个物理主机上,没有进行足够的隔离

*许多企业对管理程序/虚拟机监管层管理访问的足够控制和管理工具

这些对虚拟环境的实际威胁以管理程序为中心可以划分为几个类别:

黑客攻击:这会涉及对管理程序的干扰或者插入流氓管理程序。由于管理程序是在处理器专属级别上运行的,因为管理程序上运行的任何操作系统都很难甚至不可能侦测到这些虚拟化安全威胁。从理论上来说,控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。

虚拟机溢出:会导致虚拟机溢出的漏洞会允许黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。

虚拟机跳跃:与虚拟化溢出类似,虚拟机跳跃会允许攻击从一个虚拟机转而去威胁在同一个物理硬件上运行的其他虚拟服务器。

虚拟机被盗:这是一种用电子方式窃取虚拟机文件然后四处传播和运行的能力。是一种相当于窃取了完整的物理服务器的攻击,而且无需进入安全的数据中心和移除计算设备。

所有这些威胁方式是当企业部署虚拟化安全环境时,他们使用了一种全新的关键任务元素:管理程序。由于对管理程序的成功攻击会导致对所有托管的工作负载都造成威胁——而对个别虚拟工作负载的成功攻击也会对管理程序造成威胁,因此企业的管理程序应该被认定为关键任务软件并进行适当的安全防护。

在传统的IT环境中,网络流量可以使用一系列服务器安全防护系统来侦测恶意行为以实现监控,检查和过滤。但是虚拟环境的问题是通过虚拟交互及运行的虚拟机之间的通信很大一部分是无形的:它不是通过有线电缆来实现通信,也就无法用正常方式来实施监控。考利格认为只有一种解决方案可以解决这个问题"那就是必须建立虚拟机到虚拟机的流量可视化和控制".

一个复杂的问题是虚拟数据中心中经常会出现职责的分离。服务器和运营团队通常负责虚拟交换机的配置和管理。几乎或者完全没有综合性的应用工具和安全控制。对于网络和安全团队而言,这会导致实施配置审核可视性的缺失,进而虚拟化安全受到损害。就很难对拓扑和配置变化进行侦测,考利格强调会所"网络和安全团队必须掌控访问层的一举一动".考利格推荐了以下三种方式来实现这一目标:

1.硬件方式

硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网,配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核,只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。

2.完全虚拟化的方式

采用这种方式,每个ESX主机都配置了虚拟入侵检测系统和防火墙,每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到,而且当虚拟机在物理主机之间迁移时,安全协议也会随之一起迁移,不过不足之处是这种方式是影响数据中心安全架构的性能为代价的。

3.综合方式

这是一种可以大幅度缓解完全虚拟化方式所导致的数据中心安全的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器,虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2020-02-11 13:17:58
5G资讯 慕尼黑安全会议主席谈华为5G:不应以安全为借口行保护主义之实
针对德国国内围绕华为5G的讨论,慕尼黑安全会议主席沃尔夫冈·伊申格尔10日在柏林向中新社记者表示,不应以“本国安全”为借口采取保护主义措施。他强调,德国最不需要的就 <详情>
2020-01-21 20:55:43
互联网 武汉新型冠状病毒引关注 互联网企业在行动
1月21日下午,据武汉市卫健委消息:为坚决遏制新型冠状病毒感染引起的肺炎疫情扩散,武汉市对进出武汉人员加强管控。 <详情>
2019-12-17 17:14:13
互联网 NeurIPS 2019联邦学习国际研讨会聚焦数据安全,联邦学习技术应用再拓边界
近两年来,联邦学习在学术研究、标准制定和行业落地等方面发展迅速,有望成为下一代人工智能协同算法和协作网络的基础,全球范围内也正在掀起“联邦学习”的热潮,越来越多 <详情>
从智能运维到智慧运营 擎创科技赋予企业“侦探”能力
2020-09-21 19:15:17
筑牢“新基建”的底座 中国移动(江苏常州)数据中心正式落户江苏中关村创智园
2020-09-21 17:42:22
国网信通产业集团呼伦贝尔大数据中心建成投运
2020-09-21 17:35:08
【IDC圈一周最HOT】IDCC2020、阿里全浸没式液冷数据中心、宝钢大数据中心、全国用云增119%、第33批CDN牌照
2020-09-21 17:30:33
网银互联LinkWAN出席中国(杭州)国际电子商务博览会
2020-09-21 17:17:44
将公共云延伸至本地,阿里云推出本地化部署服务云盒Cloud Box
2020-09-21 14:27:55
促进数据中心产业发展,华为一直在路上
2020-09-21 14:26:26
农业农村部:将推动建设农业农村大数据中心和平台
2020-09-21 13:15:38
第四届“强网杯” 全国网络安全挑战赛线下赛结果出炉,巅峰对决再现王者之争
2020-09-21 13:11:43
第四届“强网杯”创新作品赛圆满结束, 6组作品现场牵手成功
2020-09-21 13:02:02
万国数据上海三号数据中心完成绿色升级计划,以实际行动引领行业可持续发展
2020-09-21 12:58:54
北京5G用户首破500万大关 实现5G独立组网全覆盖
2020-09-21 11:26:59
顺应新基建浪潮,看超级大行360°玩转服务器智能运维
2020-09-21 10:58:04
腾讯:WeCom是企业微信海外版 和WeChat是不同产品
2020-09-21 10:55:24
湖北省拟投7731亿元推进新基建
2020-09-21 09:49:55