虛擬化技術(shù)的6大安全問題及保障措施

申請免費試用、咨詢電話：400-8352-114

虛擬化技術(shù)的不斷發(fā)展讓更多的企業(yè)在考慮部署虛擬化設(shè)施，虛擬化的益處如服務(wù)器的整合、更快的硬件、使用上的簡單、靈活的快照技術(shù)等使得虛擬化更加引人注目。在有些機構(gòu)中，虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。這再次證明，技術(shù)再次走在了最佳的安全方法的前面。隨著機構(gòu)對災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來越普遍。我們應(yīng)該關(guān)注這種繁榮背后的隱憂。

使用虛擬化環(huán)境時存在的缺陷

1.如果主機受到破壞，那么主要的主機所管理的客戶端服務(wù)器有可能被攻克。

2.如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶端也會受到損害。

3.需要保障客戶端共享和主機共享的安全，因為這些共享有可被不法之徒利用其漏洞。

4.如果主機有問題，那么所有的虛擬機都會產(chǎn)生問題。

5.虛擬機被認(rèn)為是二級主機，它們具有類似的特性，并以與物理機的類似的方式運行。在以后的幾年中，虛擬機和物理機之間的不同點將會逐漸減少。

6.在涉及到虛擬領(lǐng)域時，最少特權(quán)技術(shù)并沒有得到應(yīng)有的重視，甚至遭到了遺忘。這項技術(shù)可以減少攻擊面，并且應(yīng)當(dāng)在物理的和類似的虛擬化環(huán)境中采用這項技術(shù)。

保障虛擬服務(wù)器環(huán)境安全的措施

1.升級你的操作系統(tǒng)和應(yīng)用程序，這應(yīng)當(dāng)在所有的虛擬機和主機上進行。主機應(yīng)用程序應(yīng)當(dāng)少之又少，僅應(yīng)當(dāng)安裝所需要的程序。

2.在不同的虛擬機之間，用防火墻進行隔離和防護，并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。

4.在所有的主機和虛擬機上安裝和更新反病毒機制，因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染。

5.在主機和虛擬機之間使用IPSEC或強化加密，因為虛擬機之間、虛擬機與主機之間的通信可能被嗅探和破壞。

6.不要從主機瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機。

7.在主機上保障管理員和管理員組賬戶的安全，因為未授權(quán)用戶對特權(quán)賬戶的訪問能導(dǎo)致嚴(yán)重的安全損害。調(diào)查發(fā)現(xiàn)，主機上的管理員(根)賬戶不如虛擬機上的賬戶安全。記住，你的安全性是由最弱的登錄點決定的。

8.強化主機操作系統(tǒng)，并終止和禁用不必要的服務(wù)。保持操作系統(tǒng)的精簡，可以減少被攻擊的機會。

9.關(guān)閉不使用的虛擬機。如果你不需要一種虛擬機，就不要運行它。

10.將虛擬機整合到企業(yè)的安全策略中。

11.保證主機的安全，確保在虛擬機離線時，非授權(quán)用戶無法破壞虛擬機文件。

12.采用可隔離虛擬機管理程序的方案，這些系統(tǒng)可以進一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機驅(qū)動程序的更新和升級，這會保障你的硬件以最優(yōu)的速度運行，而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機會。

14.要禁用虛擬機中未用的端口。如果虛擬機環(huán)境并不利用端口技術(shù)，就應(yīng)當(dāng)禁用它。

15.監(jiān)視主機和虛擬主機上的事件日志和安全事件。這些日志應(yīng)當(dāng)妥善保存，用于日后的安全審計。

16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚與熊掌，不可兼得。在資源被虛擬機輪流共享時，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務(wù)攻擊也將是家常便飯。

17.在可能的情況下，保證網(wǎng)絡(luò)接口卡專用于每一個虛擬機。這里再次減輕了資源共享問題，并且虛擬機的通信也得到了隔離。

18.投資購買可滿足特定目的并且支持虛擬機的硬件。不支持虛擬機的硬件會產(chǎn)生潛在的安全問題。

19.分區(qū)可產(chǎn)生磁盤邊界，它可用于分離每一個虛擬機并可在其專用的分區(qū)上保障安全性。如果一個虛擬機超出了正常的限制，專用分區(qū)會限制它對其它虛擬機的影響。

20.要保證如果不需要互聯(lián)的話，虛擬機不能彼此連接。前面我們已經(jīng)說過網(wǎng)絡(luò)隔離的重要性。要進行虛擬機之間的通信，可以使用一個在不同網(wǎng)絡(luò)地址上的獨立網(wǎng)絡(luò)接口卡，這要比將虛擬機之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多。

21.NAC正走向虛擬機，對于基于虛擬機服務(wù)器的設(shè)備尤其如此。如果這是一種可以啟用的特性，那么，正確的實施NAC將為你帶來更長遠的安全性。

22.嚴(yán)格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少。

23.記住，主機代表著單個失效點，備份和連續(xù)性要求可以有助于減少這種風(fēng)險。

24.避免共享IP地址，這又是一個共享資源而造成問題和漏洞的典型實例。

業(yè)界已經(jīng)開始認(rèn)識到，虛擬化安全并不是像我們看待物理安全那樣簡單。這項技術(shù)帶來了新的需要解決的挑戰(zhàn)。

結(jié) 論

虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高，那么建議最好不要采用虛擬化，可堅持使用物理機器，但后者也需要安全保障。（IT專家網(wǎng)論壇）