當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
如何在云計(jì)算虛擬化期間減少安全風(fēng)險(xiǎn)?
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
摘要:在云計(jì)算中,有三種基本服務(wù)模型:軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS)。此外,還有三種基本的部署模型:公有、混合和私有。虛擬化通常被用于上述的這些云計(jì)算模型和部署中,以實(shí)現(xiàn)其諸多優(yōu)勢(shì),包括成本效益、增加運(yùn)行時(shí)間、改善災(zāi)難恢復(fù)和應(yīng)用隔離。在云計(jì)算中,有三種基本服務(wù)模型:軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS)。此外,還有三種基本的部署模型:公有、混合和私有。虛擬化通常被用于上述的這些云計(jì)算模型和部署中,以實(shí)現(xiàn)其諸多優(yōu)勢(shì),包括成本效益、增加運(yùn)行時(shí)間、改善災(zāi)難恢復(fù)和應(yīng)用隔離。
在云部署中處理虛擬化時(shí),誰來管理安全并不重要,不管是提供商還是企業(yè)客戶,因?yàn)樾枰鉀Q相同的安全問題。選擇一項(xiàng)服務(wù)和部署模型時(shí),要知道SaaS提供了這個(gè)環(huán)境最小的控制,同時(shí)IaaS則提供了最多的控制。類似的,在公有云中,需要遵守云服務(wù)提供商(CSP)的規(guī)則,同時(shí)在私有云中,則具備環(huán)境的完全控制。這一點(diǎn)對(duì)于安全同樣適用,用戶控制了云部署中的很小的部分,而剩下的則由CSP控制。無法訪問部署模型的具體部分,CSP則需要實(shí)施更合適的安全度量來處理。
云計(jì)算中虛擬化的安全問題
盡管虛擬化帶來了很多優(yōu)勢(shì),但是也導(dǎo)致了很多安全問題:
管理程序:這個(gè)程序在相同的物理機(jī)上運(yùn)行了多種虛擬機(jī)。如果管理程序中易于受到攻擊,攻擊者就會(huì)利用其進(jìn)入到整個(gè)主機(jī),從而就可以訪問每一個(gè)運(yùn)行在主機(jī)上的客用虛擬機(jī)。由于管理程序很少更新,已有的漏洞會(huì)危害整個(gè)系統(tǒng)的安全。如果發(fā)現(xiàn)了漏洞,關(guān)鍵就是盡快打補(bǔ)丁,組織潛在危害。
資源分配:物理內(nèi)存或者數(shù)據(jù)存儲(chǔ)被一個(gè)虛擬機(jī)使用并重新分配給其他虛擬機(jī)時(shí),數(shù)據(jù)泄露也是風(fēng)險(xiǎn)。泄露通常發(fā)生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個(gè)新的VM收到了額外的資源,會(huì)采用取證調(diào)查技術(shù)獲取整個(gè)物理內(nèi)存的的鏡像,以及數(shù)據(jù)存儲(chǔ)。整個(gè)鏡像隨后會(huì)用于分析,這樣就會(huì)將前一個(gè)VM留下的重要信息透露出去。
虛擬機(jī)攻擊:如果攻擊者成功威脅了一個(gè)VM,就可以在很長(zhǎng)一段時(shí)間里通過網(wǎng)絡(luò)攻擊相同主機(jī)上的其他VM.這也是越來越流行的一種跨虛擬機(jī)攻擊方法,主要在于VM之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序檢查出來。
遷移攻擊:在必要時(shí),大多數(shù)虛擬化界面中遷移虛擬機(jī)都很容易實(shí)現(xiàn)。VM通過網(wǎng)絡(luò)發(fā)送給另外的虛擬化服務(wù)器,這個(gè)服務(wù)器上相同VM已經(jīng)設(shè)置好。但是如果沒能很好地管理流程,VM就可以通過非加密的渠道發(fā)送,可能被工具這通過網(wǎng)絡(luò)中執(zhí)行中間人攻擊(MITM)嗅探到。
減少安全擔(dān)憂
下面我們來介紹如何減少上面指出的安全問題:
管理程序:針對(duì)管理程序定期檢查可用的最新的升級(jí)非常重要,同時(shí)要相應(yīng)的升級(jí)系統(tǒng)。通過保持管理程序的更新,能夠阻止攻擊者利用已知的漏洞并控制主機(jī)系統(tǒng),包括運(yùn)行在上面的所有虛擬機(jī)。
資源分配:當(dāng)從一個(gè)虛擬機(jī)將資源再分配給另一個(gè)虛擬機(jī)時(shí),二者都需要確保其安全。舊的數(shù)據(jù)存在于物理內(nèi)存中,也存在于數(shù)據(jù)存儲(chǔ)中,需要用零來重寫覆蓋。
虛擬機(jī)攻擊:有必要區(qū)別相同物理主機(jī)上的VM的流量進(jìn)入和輸出。這樣我們就能夠應(yīng)用入侵檢測(cè)和預(yù)防算法盡快捕獲攻擊者帶來的威脅。
遷移攻擊:為了防止遷移攻擊發(fā)生,必須保證網(wǎng)絡(luò)的安全性,防止MITM滲透帶來的威脅。這樣做的話,就算攻擊者能夠威脅一個(gè)VM,但是無法成功執(zhí)行MITM攻擊。此外,通過安全的取代發(fā)送數(shù)據(jù)可能也會(huì)比較有用。雖然有人認(rèn)為最好還是在遷移必須發(fā)生時(shí),破壞并重新創(chuàng)建虛擬機(jī)鏡像,但是通過安全渠道和網(wǎng)絡(luò)更靠譜。
對(duì)于虛擬化的云環(huán)境可能會(huì)出現(xiàn)多種攻擊,但是如果在實(shí)施和管理云部署的時(shí)候進(jìn)行了合適的安全控制和規(guī)程是可以預(yù)防的。在嘗試確保云環(huán)境安全之前,理解這些惡意攻擊如何執(zhí)行很重要。這將有助于確保企業(yè)的防御更好地適應(yīng)環(huán)境中最可能出現(xiàn)的威脅。在確保環(huán)境安全之后,檢查安全度量是否很好地嘗試執(zhí)行攻擊預(yù)防。這些可以在企業(yè)內(nèi)部執(zhí)行或者聘請(qǐng)防御檢測(cè)公司來執(zhí)行。
- 1中國(guó)人民保險(xiǎn)協(xié)同辦公應(yīng)用建高效管理體系
- 2降低內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的10種方法
- 3安全慎用“拿來主義”
- 4OA系統(tǒng)項(xiàng)目要求采用集團(tuán)化分級(jí)管理
- 5數(shù)據(jù)歸檔:備份的完美轉(zhuǎn)身
- 6現(xiàn)辦公業(yè)務(wù)流、自下而上審批OA辦公系統(tǒng)
- 7未來企業(yè)辦公信息化方向---SharePoint協(xié)同辦公平臺(tái)
- 8普及虛擬儲(chǔ)存化需要翻越的三大門檻
- 9企業(yè)選擇云計(jì)算之前必須回答的五大問題
- 10選購(gòu)OA辦公系統(tǒng)產(chǎn)品的原則
- 11病毒“發(fā)作”呼吁“云安全”計(jì)劃的實(shí)施
- 12軟件渠道大會(huì)優(yōu)秀產(chǎn)品推薦之: 沖凌信息協(xié)同辦公解決方案
- 13設(shè)置瀏覽器確保泛普OA正常
- 14協(xié)同辦公系統(tǒng)運(yùn)營(yíng)商應(yīng)該思考的問題
- 15強(qiáng)壯OA軟件夢(mèng) 助陣企業(yè)信息化
- 16計(jì)世獨(dú)家:多核打破傳統(tǒng)構(gòu)架 挑戰(zhàn)防火墻設(shè)計(jì)
- 17OA軟件A6攜手洲際地產(chǎn)打造高效協(xié)同辦公
- 18協(xié)同辦公OA的功能實(shí)現(xiàn)方案有哪些?
- 19如何降低能耗建造綠色數(shù)據(jù)中心?
- 20談OA辦公系統(tǒng)研發(fā)的趨勢(shì)
- 21XX10月協(xié)同辦公應(yīng)用交流會(huì)即將召開
- 22OA系統(tǒng)做一個(gè)通用手機(jī)客戶端,實(shí)現(xiàn)移動(dòng)OA
- 23協(xié)同辦公軟件可持續(xù)的員工學(xué)習(xí)能力
- 24一套西裝定制的OA系統(tǒng),微ERP系統(tǒng)
- 25辦公OA不斷提升員工自我管理的內(nèi)力
- 26泛普OA支持二次開發(fā)(代碼)
- 27Fix OA:平臺(tái)型OA產(chǎn)品成就企業(yè)信息化大協(xié)同
- 28概念“云計(jì)算”:計(jì)算的烏托邦?
- 29企業(yè)OA智能辦公系統(tǒng)建設(shè)
- 30協(xié)同管理系統(tǒng)的公司公告、新聞介紹
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓