您的位置: 首页 >> 芯片

CIO如何应对虚拟化三种安全风险

2019.12.03 来源: 浏览:0次

CIO如何应对虚拟化三种安全风险

据市场研究公司Forrester Research称,到2009年,全部企业服务器资源将有42%实施虚拟化这里的虚拟化概念包含许多内容,如服务器虚拟化、操作系统虚拟化、内核虚拟化和虚拟化平台,如VMware ESX和微软的 Hyper-V.这些技术首先都是以虚拟化的形式进入数据中心的这些技术将愈来愈便宜和容易使用,使它们成为数据中心的第一批虚拟实验品的诱人的候选产品整合、节省成本、动态配置和动态迁移等因素正在推动大多数IT部门实验某种形式的虚拟平台,推动虚拟系统在数据中心的应用大规模基础设施系统的出现已使虚拟平台成为数据中心中全面的面向公众的运用基础设施

虚拟平台提供商这段时间以来一直在用自己的平台解决内部的安全问题,同时让互联安全中心等外部机构使用他们的虚拟安全基准测试项目这些项目的目标是解决平台安全问题,也就是解决虚拟机基准水平的运行环境问题包括封锁外部远程登录或保证只有授权管理员才能使用等一些要求的安全规定可能会重新设置软件交换机从IT的观点看,这相当于锁定微软的 Windows 2003络服务器;所有的安全措施都适用于这个平台水平,无论它是EXS那样的虚拟平台,还是像在裸机上运行的Windows 2003 Server那样的物理服务器

然而,虚拟平台增加了额外的一层安全要求现有的针对Windows 2003或Linux特别发布版等软件的安全威逼在这些系统移植到虚拟机的时候依然存在向数据中心的虚拟机迁移需要重新设计安全计划和架构,可能引起的潜伏问题包括:事件反应、虚拟调试虚拟操作系统和虚拟软交换机、熟习隔离区和设计在向虚拟机迁移的安全计划中要斟酌上述所有的因素

为了解决把虚拟化引进到数据中心所产生的安全问题,出现了一个更大的技术行业:虚拟化安全(virtsec)IT面临的挑战之一是理解虚拟化安全是什么我如何应用虚拟化安全

3种虚拟化安全类型

1.当引进新的虚拟化技术时,数据中心增加了新的安全风险,例如,在一个管理管理程序中运行多个虚拟机的风险

2.虚拟机镜像和客户操作系统的安全

3.物理安全设备的虚拟实例,例如,从一个物理防火墙和入侵防御系统进入运行一样的服务的虚拟镜像

虚拟安全市场正在迅速解决与客户虚拟机有关的安全问题,例如,补丁管理和检查同一台主机和软交换机上的虚拟机之间的络通讯,直接在虚拟客户机上运用这些安全技术事实上,虚拟化安全实施最大的推动因素之一是推出了在虚拟平台基础设施上运行的杀毒和防火墙虚拟机然而,与虚拟平台本身有关的风险依然是不清楚的,因为目前对于内部管理程序和平台安全还没有大量的解决方案虽然从战术方面看管理程序是数据中心中最不容易被利用的部分,但是,从战略上看,管理程序是虚拟数据中心最诱人的攻击目标,因为攻破这一点就可以访问数据中心的多个虚拟系统(如果不是全部的话)

虚拟化安全策略

管理虚拟安全问题:现在开始规划

企业IT部门现在应当做的事情是保护自己不受当前和未来的虚拟化安全威胁吗首先,也是最重要的,企业应该分析自己使用的虚拟平台的具体风险重要的是要知道这个架构的变化如何影响到现有的安全管理系统企业IT部门在向虚拟机迁移或者应用虚拟机之前还应该制定战术的和战略的安全计划这些安全计划是通过对现有的虚拟安全进行综合分析实现的,同时还要计划应付虚拟平台的未来的安全威胁计划和当前架构和安全管理中的小的变化有助于防御未来的管理程序和平台级的虚拟化攻击

总的来说,作为整个虚拟化安全架构的一部分,IT部门应当把重点放在三个虚拟化方面:

1.按照位置分开虚拟机

2.按照服务类型分开虚拟机

3.在全部虚拟机生命周期内实施有预见性的安全管理

这三个方面将帮助IT部门保护其虚拟基础设施抵抗当前的威逼,并且帮助IT部门减缓未来的攻击威胁

按照位置分开虚拟机

虚拟安全领域经常讨论的问题之一是在隔离区使用虚拟平台经常看到一个物理虚拟机主机在隔离区运行公共的和专有的虚拟机,这两个安全领域的辨别是在软交换机上实行的在实践上,这种架构没有物理环境的架构那样安全,因为这种架构的虚拟机和物理机器共享运行环境在物理领域,公共机器应该插入同一台交换机,虚拟局域应当与专用机器分开,他们的计算资源 (CPU、内存、总线和络) 是不同的采取虚拟平台,这个计算的区分就消失了1台主机上所有的虚拟机将共享CPU、内存、总线和络资源从理论上说,这个同享的虚拟架构提供了从公共络向专有络机器实施直接攻击的线路这相当于把你的全部隔离区的鸡蛋都放在一个篮子里虚拟平台上的一切都是由相同的软件共享和管理的控制虚拟局域部分的软件也控制这个主机的IP堆栈那个主机上的IP堆栈中的安全漏洞会使整个客户络处于危险之中

消除同享的隔离区资源的安全威逼的解决方案是在物理上把公共的虚拟机与专用的虚拟机分开,在不同的主机上运行和管理这些虚拟机所有公然的虚拟机都应该放置在公开的主机服务器上,用电缆线连接到物理地分开的络对使用VMware公司的vCenter技术大规模实行虚拟化的企业来讲,把公共资源与专用资源集群(许多组主机根据资源组成一个单一的管理池)分开也是很重要的例如,VMware公司的DRS软件能够在一个集群中的主机之间动态迁移虚拟机如果公共的和专有的主机在一个集群中是同享的,一个DRS事件就可以根据资源的需求把一个专用的虚拟机迁移到公共主机服务器,从而取消了任何资源区分的好处

根据服务类型分开虚拟机

一旦根据位置分开虚拟资源以后,下一步就是根据任务或者服务分开虚拟机换句话说,就是让全部的络服务器虚拟机在一个资源池和集群中,让所有的运用虚拟机在另一个资源池或集群中同在隔离区内分开位置一样,这个架构旨在限制那些与攻破虚拟平台有关的风险如果一个攻击者能够攻破一个客户虚拟机,在同一个物理主机上运行的其它客户机预计也会被攻破,由于它们共享一样的运行环境如果在一个主机上运行的所有的虚拟机都是相同的并且都履行同样的任务,而且全部系统没有完全暴露,攻击者没必要利用10个虚拟机安全漏洞,能够利用一个虚拟机的漏洞就够了

另一方面,如果一个主机服务器正在所有的运用层运行(这些运用层包括络服务器、应用程序服务器和数据库服务器),攻击者通过利用前端路浏览器漏洞能够取得后端数据库的访问权限现在,数据库将有更大的风险,由于它与络服务器在同一台主机上运行,共享一样的资源根据服务分开虚拟机有助于减缓这个风险,方法是隔离虚拟应用程序并且让虚拟机保持与具体的硬件资源和集群的联系利用一种类型的虚拟机任务的安全漏洞不会直接使其它虚拟机任务面临风险

整个虚拟机生命周期内有预见性的安全管理

虚拟机和平台的主要好处之一是能够方便地创建、移动和撤销虚拟机当需要新的服务的时候,可以创建虚拟机或提取存档的虚拟机,然后根据需要进行设置随着需求的增长,人们可以克隆虚拟机或动态地为虚拟机分配额外的资源随着需求的减少,人们可以撤消这些虚拟机的设置,使这些虚拟机不再消耗资源虚拟机的创建、移动和烧毁过程构成了虚拟机的生命周期

虚拟机在生命周期的每个步都容易遭到安全威胁当从头开始创建新的虚拟机的时候,重要的是要保证虚拟机使用最新的安全补丁和软件当克隆虚拟机镜像和移动虚拟机的时候,重要的是保持每一个虚拟机的稳定状态,以便了解这些虚拟机是否需使用了最新的补钉或是不是需要使用补钉随着时间的推移,很容易重复地克隆一个使用了补丁的黄金镜像,终究使各种虚拟机保持各种补钉水平由于镜像存储很长时间没有使用,这些虚拟机可能会过时,需要在使用的间歇时间里离线使用补钉,以保证它们在下一次启动的时候尽量是安全的同迁移的虚拟机一样,资产管理对于烧毁虚拟机和防止闲置的虚拟机在数据中心蔓延成为未知威胁的攻击目标是非常重要的

结论

关于虚拟平台要记住的最重要的事实是虽然虚拟平台带来了额外的一层管理和安全风险,但是,它们的风险水平是我们每一天都要处理的事情如果在部署虚拟化或者进行虚拟化移植之前、期间或以后考虑到这些虚拟化技术因素,就有可能成功地实施虚拟基础设施迁移提早进行计划,把数据中心最好安全做法应用到虚拟平台并且从第一天开始就管理安全问题,企业就能够成功地部署虚拟化,虚拟化环境就能够比物理环境更安全

物理数据中心的最好安全做法一样适用于虚拟数据中心:依照软交换机上的虚拟局域对络分段;根据适当的身份辨认和授权对段进行隔离的管理;专家级支持排除故障;在虚拟平台和络级诊断故障虽然虚拟安全市场最终将繁华起来,但是,所有这些虚拟安全工具都要依照严格的安全做法和实施标准重新打造虽然情况产生了变化,但是,在虚拟数据中心实施安全措施与物理数据中心成功地实施安全措施的原则是相同的:具有IT环境知识;熟悉风险管理;在部署之前、期间和之后有适应性的计划

有赞微商城入驻费

宝宝健脾助消化吃什么

小儿脾胃虚弱怎么调理

佛山治疗癫痫病方法

抚顺治疗精囊炎方法

泉州哪家医院治疗牛皮癣

昆明治疗妇科疾病那里好
北京那家医院治癫痫病的好
济南哪个癫痫病医院好
Tags:
友情链接