虚拟化六大安全问题
?隨著虛擬化技術不斷向前發展,許多單位面臨著實施虛擬化的誘人理由,如服務器的整合、更快的硬件、使用上的簡單、靈活的快照技術等。這都使得虛擬化更加引人注目。在有些機構中,虛擬化已經成為其架構中的重要組成部分。在這里,技術再次走在了最佳的安全方法的前面。隨著機構對災難恢復和業務連續性的重視,特別是在金融界,虛擬環境正變得越來越普遍。我們應該關注這種繁榮背后的隱憂。
使用虛擬化環境時存在的缺陷
1.如果主機受到破壞,那么主要的主機所管理的客戶端服務器有可能被攻克。
2.如果虛擬網絡受到破壞,那么客戶端也會受到損害。
3.需要保障客戶端共享和主機共享的安全,因為這些共享有可被不法之徒利用其漏洞。
4.如果主機有問題,那么所有的虛擬機都會產生問題。
5.虛擬機被認為是二級主機,它們具有類似的特性,并以與物理機的類似的方式運行。在以后的幾年中,虛擬機和物理機之間的不同點將會逐漸減少。
6.在涉及到虛擬領域時,最少特權技術并沒有得到應有的重視,甚至遭到了遺忘。這項技術可以減少攻擊面,并且應當在物理的和類似的虛擬化環境中采用這項技術。
保障虛擬服務器環境安全的措施
1.升級你的操作系統和應用程序,這應當在所有的虛擬機和主機上進行。主機應用程序應當少之又少,僅應當安裝所需要的程序。
2.在不同的虛擬機之間,用防火墻進行隔離和防護,并確保只能處理經許可的協議。
3.使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。
4.在所有的主機和虛擬機上安裝和更新反病毒機制,因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染。
5.在主機和虛擬機之間使用IPSEC或強化加密,因為虛擬機之間、虛擬機與主機之間的通信可能被嗅探和破壞。雖然廠商們在想方設法改變這種狀況,但在筆者完成此文時,這仍是一真實的威脅。企業仍需要最佳的方法來對機器之間的通信實施加密。
6.不要從主機瀏覽互聯網,間諜軟件和惡意軟件所造成的感染仍有可能危害主機。記住,主機管理著虛擬機,發生在虛擬機上的問題會導致嚴重的問題和潛在的“宕機”時間、服務的喪失等。
7.在主機上保障管理員和管理員組賬戶的安全,因為未授權用戶對特權賬戶的訪問能導致嚴重的安全損害。調查發現,主機上的管理員(根)賬戶不如虛擬機上的賬戶安全。記住,你的安全性是由最弱的登錄點決定的。
8.強化主機操作系統,并終止和禁用不必要的服務。保持操作系統的精簡,可以減少被攻擊的機會。
9.關閉不使用的虛擬機。如果你不需要一種虛擬機,就不要運行它。
10.將虛擬機整合到企業的安全策略中。
11.保證主機的安全,確保在虛擬機離線時,非授權用戶無法破壞虛擬機文件。
12.采用可隔離虛擬機管理程序的方案,這些系統可以進一步隔離和更好地保障虛擬環境的安全。
13.確保主機驅動程序的更新和升級,這會保障你的硬件以最優的速度運行,而且軟件的更新可極大地減少漏洞利用和拒絕服務攻擊的機會。
14.要禁用虛擬機中未用的端口。如果虛擬機環境并不利用端口技術,就應當禁用它。
15.監視主機和虛擬主機上的事件日志和安全事件。這些日志應當妥善保存,用于日后的安全審計。
16.限制并減少硬件資源的共享。從某種意義上講,安全與硬件資源共享,如同魚與熊掌,不可兼得。在資源被虛擬機輪流共享時,除發生數據泄漏外,拒絕服務攻擊也將是家常便飯。
17.在可能的情況下,保證網絡接口卡專用于每一個虛擬機。這里再次減輕了資源共享問題,并且虛擬機的通信也得到了隔離。
18.投資購買可滿足特定目的并且支持虛擬機的硬件。不支持虛擬機的硬件會產生潛在的安全問題。
19.分區可產生磁盤邊界,它可用于分離每一個虛擬機并可在其專用的分區上保障安全性。如果一個虛擬機超出了正常的限制,專用分區會限制它對其它虛擬機的影響。
20.要保證如果不需要互聯的話,虛擬機不能彼此連接。前面我們已經說過網絡隔離的重要性。要進行虛擬機之間的通信,可以使用一個在不同網絡地址上的獨立網絡接口卡,這要比將虛擬機之間的通信直接推向暴露的網絡要安全得多。
21.NAC正走向虛擬機,對于基于虛擬機服務器的設備尤其如此。如果這是一種可以啟用的特性,那么,正確的實施NAC將為你帶來更長遠的安全性。
22.嚴格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少。
23.記住,主機代表著單個失效點,備份和連續性要求可以有助于減少這種風險。
24.避免共享IP地址,這又是一個共享資源而造成問題和漏洞的典型實例。
業界已經開始認識到,虛擬化安全并不是像我們看待物理安全那樣簡單。這項技術帶來了新的需要解決的挑戰。
結論
虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高,那么筆者建議它最好不要采用虛擬化,可堅持使用物理機器,但后者也需要安全保障。
?
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/itbright/archive/2008/09/19/2947281.aspx
總結
- 上一篇: 第四节 结构化分析方法的概念
- 下一篇: 简易DDS信号发生器记录