監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

部署虛擬化需加倍注意安全風(fēng)險(xiǎn)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

據(jù)市場(chǎng)研究公司Forrester Research稱,到2009年,全部企業(yè)服務(wù)器資源將有42%實(shí)施虛擬化。這里的虛擬化概念包含許多內(nèi)容,如服務(wù)器虛擬化、操作系統(tǒng)虛擬化、內(nèi)核虛擬化和虛擬化平臺(tái),如VMware ESX和微軟的Hyper-V。這些技術(shù)首先都是以虛擬化的形式進(jìn)入數(shù)據(jù)中心的。這些技術(shù)將越來(lái)越便宜和容易使用,使它們成為數(shù)據(jù)中心的第一批虛擬實(shí)驗(yàn)品的誘人的候選產(chǎn)品。整合、節(jié)省成本、動(dòng)態(tài)配置和動(dòng)態(tài)遷移等因素正在推動(dòng)大多數(shù)IT部門(mén)試驗(yàn)?zāi)撤N形式的虛擬平臺(tái),推動(dòng)虛擬系統(tǒng)在數(shù)據(jù)中心的應(yīng)用。大規(guī)?;A(chǔ)設(shè)施系統(tǒng)的出現(xiàn)已經(jīng)使虛擬平臺(tái)成為數(shù)據(jù)中心中全面的面向公眾的應(yīng)用基礎(chǔ)設(shè)施。

虛擬平臺(tái)提供商這段時(shí)間以來(lái)一直在用自己的平臺(tái)解決內(nèi)部的安全問(wèn)題,同時(shí)讓互聯(lián)網(wǎng)安全中心等外部機(jī)構(gòu)使用他們的虛擬安全基準(zhǔn)測(cè)試項(xiàng)目。這些項(xiàng)目的目標(biāo)是解決平臺(tái)安全問(wèn)題,也就是解決虛擬機(jī)基準(zhǔn)水平的運(yùn)行環(huán)境問(wèn)題。包括封鎖外部遠(yuǎn)程登錄或者保證只有授權(quán)管理員才能使用等一些要求的安全規(guī)定可能會(huì)重新設(shè)置軟件交換機(jī)。從IT的觀點(diǎn)看,這相當(dāng)于鎖定微軟的 Windows 2003網(wǎng)絡(luò)服務(wù)器;所有的安全措施都適用于這個(gè)平臺(tái)水平,無(wú)論它是EXS那樣的虛擬平臺(tái),還是像在裸機(jī)上運(yùn)行的Windows 2003 Server那樣的物理服務(wù)器。

然而,虛擬平臺(tái)增加了額外的一層安全要求?,F(xiàn)有的針對(duì)Windows 2003或者Linux特別發(fā)布版等軟件的安全威脅在這些系統(tǒng)移植到虛擬機(jī)的時(shí)候仍然存在。向數(shù)據(jù)中心的虛擬機(jī)遷移需要重新設(shè)計(jì)安全計(jì)劃和架構(gòu),可能引起的潛在問(wèn)題包括:事件反應(yīng)、虛擬調(diào)試虛擬操作系統(tǒng)和虛擬軟交換機(jī)、熟悉隔離區(qū)和設(shè)計(jì)。在向虛擬機(jī)遷移的安全計(jì)劃中要考慮上述所有的因素。

為了解決把虛擬化引進(jìn)到數(shù)據(jù)中心所產(chǎn)生的安全問(wèn)題,出現(xiàn)了一個(gè)更大的技術(shù)行業(yè):虛擬化安全(virtsec)。IT面臨的挑戰(zhàn)之一是理解“虛擬化安全是什么?我如何應(yīng)用虛擬化安全?”

三種虛擬化安全類型

1.當(dāng)引進(jìn)新的虛擬化技術(shù)時(shí),數(shù)據(jù)中心增加了新的安全風(fēng)險(xiǎn),例如,在一個(gè)管理管理程序中運(yùn)行多個(gè)虛擬機(jī)的風(fēng)險(xiǎn)。

2.虛擬機(jī)鏡像和客戶操作系統(tǒng)的安全。

3.物理安全設(shè)備的虛擬實(shí)例,例如,從一個(gè)物理防火墻和入侵防御系統(tǒng)進(jìn)入運(yùn)行同樣的服務(wù)的虛擬鏡像。

虛擬安全市場(chǎng)正在迅速解決與客戶虛擬機(jī)有關(guān)的安全問(wèn)題,例如,補(bǔ)丁管理和檢查同一臺(tái)主機(jī)和軟交換機(jī)上的虛擬機(jī)之間的網(wǎng)絡(luò)通訊,直接在虛擬客戶機(jī)上應(yīng)用這些安全技術(shù)。事實(shí)上,虛擬化安全實(shí)施最大的推動(dòng)因素之一是推出了在虛擬平臺(tái)基礎(chǔ)設(shè)施上運(yùn)行的殺毒和防火墻虛擬機(jī)。然而,與虛擬平臺(tái)本身有關(guān)的風(fēng)險(xiǎn)仍然是不清楚的,因?yàn)槟壳皩?duì)于內(nèi)部管理程序和平臺(tái)安全還沒(méi)有大量的解決方案。雖然從戰(zhàn)術(shù)方面看管理程序是數(shù)據(jù)中心中最不容易被利用的部分,但是,從戰(zhàn)略上看,管理程序是虛擬數(shù)據(jù)中心最誘人的攻擊目標(biāo),因?yàn)楣テ七@一點(diǎn)就可以訪問(wèn)數(shù)據(jù)中心的多個(gè)虛擬系統(tǒng)(如果不是全部的話)。

虛擬化安全策略

管理虛擬安全問(wèn)題:現(xiàn)在開(kāi)始規(guī)劃

企業(yè)IT部門(mén)現(xiàn)在應(yīng)該做的事情是保護(hù)自己不受當(dāng)前和未來(lái)的虛擬化安全威脅嗎?首先,也是最重要的,企業(yè)應(yīng)該分析自己使用的虛擬平臺(tái)的具體風(fēng)險(xiǎn)。重要的是要知道這個(gè)架構(gòu)的變化如何影響到現(xiàn)有的安全管理系統(tǒng)。企業(yè)IT部門(mén)在向虛擬機(jī)遷移或者應(yīng)用虛擬機(jī)之前還應(yīng)該制定戰(zhàn)術(shù)的和戰(zhàn)略的安全計(jì)劃。這些安全計(jì)劃是通過(guò)對(duì)現(xiàn)有的虛擬安全進(jìn)行綜合分析實(shí)現(xiàn)的,同時(shí)還要計(jì)劃應(yīng)付虛擬平臺(tái)的未來(lái)的安全威脅。規(guī)劃以及當(dāng)前架構(gòu)和安全管理中的小的變化有助于防御未來(lái)的管理程序和平臺(tái)級(jí)的虛擬化攻擊。

總的來(lái)說(shuō),作為整個(gè)虛擬化安全架構(gòu)的一部分,IT部門(mén)應(yīng)該把重點(diǎn)放在三個(gè)虛擬化方面:

1.按照位置分開(kāi)虛擬機(jī)

2.按照服務(wù)類型分開(kāi)虛擬機(jī)

3.在整個(gè)虛擬機(jī)生命周期內(nèi)實(shí)施有預(yù)見(jiàn)性的安全管理

這三個(gè)方面將幫助IT部門(mén)保護(hù)其虛擬基礎(chǔ)設(shè)施抵御當(dāng)前的威脅,并且?guī)椭鶬T部門(mén)緩解未來(lái)的攻擊威脅。

按照位置分開(kāi)虛擬機(jī)

虛擬安全領(lǐng)域經(jīng)常討論的問(wèn)題之一是在隔離區(qū)使用虛擬平臺(tái)。經(jīng)??吹揭粋€(gè)物理虛擬機(jī)主機(jī)在隔離區(qū)運(yùn)行公共的和專有的虛擬機(jī),這兩個(gè)安全領(lǐng)域的區(qū)分是在軟交換機(jī)上實(shí)施的。在實(shí)踐上,這種架構(gòu)沒(méi)有物理環(huán)境的架構(gòu)那樣安全,因?yàn)檫@種架構(gòu)的虛擬機(jī)和物理機(jī)器共享運(yùn)行環(huán)境。在物理領(lǐng)域,公共機(jī)器應(yīng)該插入同一臺(tái)交換機(jī),虛擬局域網(wǎng)應(yīng)該與專用機(jī)器分開(kāi),他們的計(jì)算資源 (CPU、內(nèi)存、總線和網(wǎng)絡(luò))是不同的。采用虛擬平臺(tái),這個(gè)計(jì)算的區(qū)分就消失了。一臺(tái)主機(jī)上所有的虛擬機(jī)將共享CPU、內(nèi)存、總線和網(wǎng)絡(luò)資源。從理論上說(shuō),這個(gè)共享的虛擬架構(gòu)提供了從公共網(wǎng)絡(luò)向?qū)S芯W(wǎng)絡(luò)機(jī)器實(shí)施直接攻擊的線路。這相當(dāng)于把你的全部隔離區(qū)的雞蛋都放在一個(gè)籃子里。虛擬平臺(tái)上的一切都是由相同的軟件共享和管理的。控制虛擬局域網(wǎng)部分的軟件也控制這個(gè)主機(jī)的IP堆棧。那個(gè)主機(jī)上的IP堆棧中的安全漏洞會(huì)使整個(gè)客戶網(wǎng)絡(luò)處于危險(xiǎn)之中。

消除共享的隔離區(qū)資源的安全威脅的解決方案是在物理上把公共的虛擬機(jī)與專用的虛擬機(jī)分開(kāi),在不同的主機(jī)上運(yùn)行和管理這些虛擬機(jī)。所有公開(kāi)的虛擬機(jī)都應(yīng)該放置在公開(kāi)的主機(jī)服務(wù)器上,用電纜線連接到物理地分開(kāi)的網(wǎng)絡(luò)。對(duì)于使用VMware公司的vCenter技術(shù)大規(guī)模實(shí)施虛擬化的企業(yè)來(lái)說(shuō),把公共資源與專用資源集群(許多組主機(jī)根據(jù)資源組成一個(gè)單一的管理池)分開(kāi)也是很重要的。例如,VMware公司的DRS軟件能夠在一個(gè)集群中的主機(jī)之間動(dòng)態(tài)遷移虛擬機(jī)。如果公共的和專有的主機(jī)在一個(gè)集群中是共享的,一個(gè)DRS事件就可以根據(jù)資源的需求把一個(gè)專用的虛擬機(jī)遷移到公共主機(jī)服務(wù)器,從而取消了任何資源區(qū)分的好處。

根據(jù)服務(wù)類型分開(kāi)虛擬機(jī)

一旦根據(jù)位置分開(kāi)虛擬資源之后,下一步就是根據(jù)任務(wù)或者服務(wù)分開(kāi)虛擬機(jī)。換句話說(shuō),就是讓全部的網(wǎng)絡(luò)服務(wù)器虛擬機(jī)在一個(gè)資源池和集群中,讓所有的應(yīng)用虛擬機(jī)在另一個(gè)資源池或者集群中。同在隔離區(qū)內(nèi)分開(kāi)位置一樣,這個(gè)架構(gòu)旨在限制那些與攻破虛擬平臺(tái)有關(guān)的風(fēng)險(xiǎn)。如果一個(gè)攻擊者能夠攻破一個(gè)客戶虛擬機(jī),在同一個(gè)物理主機(jī)上運(yùn)行的其它客戶機(jī)預(yù)計(jì)也會(huì)被攻破,因?yàn)樗鼈児蚕硗瑯拥倪\(yùn)行環(huán)境。如果在一個(gè)主機(jī)上運(yùn)行的所有的虛擬機(jī)都是相同的并且都執(zhí)行同樣的任務(wù),而且整個(gè)系統(tǒng)沒(méi)有完全暴露,攻擊者不必利用10個(gè)虛擬機(jī)安全漏洞,能夠利用一個(gè)虛擬機(jī)的漏洞就夠了。

另一方面,如果一個(gè)主機(jī)服務(wù)器正在所有的應(yīng)用層運(yùn)行(這些應(yīng)用層包括網(wǎng)絡(luò)服務(wù)器、應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器),攻擊者通過(guò)利用前端網(wǎng)路瀏覽器漏洞能夠獲得后端數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限?,F(xiàn)在,數(shù)據(jù)庫(kù)將有更大的風(fēng)險(xiǎn),因?yàn)樗c網(wǎng)絡(luò)服務(wù)器在同一臺(tái)主機(jī)上運(yùn)行,共享同樣的資源。根據(jù)服務(wù)分開(kāi)虛擬機(jī)有助于緩解這個(gè)風(fēng)險(xiǎn),方法是隔離虛擬應(yīng)用程序并且讓虛擬機(jī)保持與具體的硬件資源和集群的聯(lián)系。利用一種類型的虛擬機(jī)任務(wù)的安全漏洞不會(huì)直接使其它虛擬機(jī)任務(wù)面臨風(fēng)險(xiǎn)。

整個(gè)虛擬機(jī)生命周期內(nèi)有預(yù)見(jiàn)性的安全管理

虛擬機(jī)和平臺(tái)的主要好處之一是能夠方便地創(chuàng)建、移動(dòng)和撤銷(xiāo)虛擬機(jī)。當(dāng)需要新的服務(wù)的時(shí)候,可以創(chuàng)建虛擬機(jī)或者提取存檔的虛擬機(jī),然后根據(jù)需要進(jìn)行設(shè)置。隨著需求的增長(zhǎng),人們可以克隆虛擬機(jī)或者動(dòng)態(tài)地為虛擬機(jī)分配額外的資源。隨著需求的減少,人們可以撤銷(xiāo)這些虛擬機(jī)的設(shè)置,使這些虛擬機(jī)不再消耗資源。虛擬機(jī)的創(chuàng)建、移動(dòng)和銷(xiāo)毀過(guò)程構(gòu)成了虛擬機(jī)的生命周期。

虛擬機(jī)在生命周期的每一個(gè)步都容易受到安全威脅。當(dāng)從頭開(kāi)始創(chuàng)建新的虛擬機(jī)的時(shí)候,重要的是要保證虛擬機(jī)使用最新的安全補(bǔ)丁和軟件。當(dāng)克隆虛擬機(jī)鏡像和移動(dòng)虛擬機(jī)的時(shí)候,重要的是保持每一個(gè)虛擬機(jī)的“穩(wěn)定狀態(tài)”,以便了解這些虛擬機(jī)是否需使用了最新的補(bǔ)丁或者是否需要使用補(bǔ)丁。隨著時(shí)間的推移,很容易重復(fù)地克隆一個(gè)使用了補(bǔ)丁的“黃金”鏡像,最終使各種虛擬機(jī)保持各種補(bǔ)丁水平。由于鏡像存儲(chǔ)很長(zhǎng)時(shí)間沒(méi)有使用,這些虛擬機(jī)可能會(huì)過(guò)時(shí),需要在使用的間歇時(shí)間里離線使用補(bǔ)丁,以保證它們?cè)谙乱淮螁?dòng)的時(shí)候盡可能是安全的。同遷移的虛擬機(jī)一樣,資產(chǎn)管理對(duì)于銷(xiāo)毀虛擬機(jī)和防止閑置的虛擬機(jī)在數(shù)據(jù)中心蔓延成為未知威脅的攻擊目標(biāo)是非常重要的。

結(jié)論

關(guān)于虛擬平臺(tái)要記住的最重要的事實(shí)是雖然虛擬平臺(tái)帶來(lái)了額外的一層管理和安全風(fēng)險(xiǎn),但是,它們的風(fēng)險(xiǎn)水平是我們每一天都要處理的事情。如果在部署虛擬化或者進(jìn)行虛擬化移植之前、期間或者之后考慮到這些虛擬化技術(shù)因素,就有可能成功地實(shí)施虛擬基礎(chǔ)設(shè)施遷移。提前進(jìn)行規(guī)劃,把數(shù)據(jù)中心最佳安全做法應(yīng)用到虛擬平臺(tái)并且從第一天開(kāi)始就管理安全問(wèn)題,企業(yè)就能夠成功地部署虛擬化,虛擬化環(huán)境就能夠比物理環(huán)境更安全。

物理數(shù)據(jù)中心的最佳安全做法同樣適用于虛擬數(shù)據(jù)中心:按照軟交換機(jī)上的虛擬局域網(wǎng)對(duì)網(wǎng)絡(luò)分段;根據(jù)適當(dāng)?shù)纳矸葑R(shí)別和授權(quán)對(duì)網(wǎng)段進(jìn)行隔離的管理; 專家級(jí)支持排除故障;在虛擬平臺(tái)和網(wǎng)絡(luò)級(jí)診斷故障。雖然虛擬安全市場(chǎng)最終將繁榮起來(lái),但是,所有這些虛擬安全工具都要按照嚴(yán)格的安全做法和實(shí)施標(biāo)準(zhǔn)重新打造。雖然情況發(fā)生了變化,但是,在虛擬數(shù)據(jù)中心實(shí)施安全措施與物理數(shù)據(jù)中心成功地實(shí)施安全措施的原則是相同的:擁有IT環(huán)境知識(shí);熟悉風(fēng)險(xiǎn)管理;在部署之前、期間和之后有適應(yīng)性的規(guī)劃。(來(lái)自互聯(lián)網(wǎng))

 

發(fā)布:2007-04-21 11:54    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普沈陽(yáng)OA行業(yè)資訊其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開(kāi)發(fā)公司 沈陽(yáng)門(mén)禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司